Une fois que VM Manager a appliqué une attribution de règles d'OS à une instance de machine virtuelle (VM), un rapport d'attribution de règles d'OS est généré. Le rapport contient l'état de conformité de toutes les règles d'OS appliquées à une VM spécifique pour une attribution de règle d'OS donnée.
Ce document décrit les tâches suivantes:
- Affichez le rapport de conformité aux règles du système d'exploitation pour toutes les VM d'une organisation ou d'un dossier (aperçu).
- Répertorier les rapports d'attribution de règles d'OS pour toutes les VM d'une zone spécifiée. Cela est utile pour fournir un aperçu de l'état de conformité dans une zone spécifique. Consultez la section Afficher les rapports d'attribution de règles d'OS.
- Vérifier l'attribution de règles d'OS pour une VM spécifique. Cela est utile lors de l'examen de l'état de conformité d'une VM spécifique. Consultez la page Examiner un rapport d'attribution de règles d'OS.
Avant de commencer
- Consultez les quotas d'OS Config.
-
Si ce n'est pas déjà fait, configurez l'authentification.
L'authentification est le processus permettant de valider votre identité pour accéder aux services et aux API Google Cloud.
Pour exécuter du code ou des exemples depuis un environnement de développement local, vous pouvez vous authentifier auprès de Compute Engine comme suit :
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Affichez le résumé de la conformité des règles d'OS pour les VM d'une organisation ou d'un dossier (Bêta) :
-
Lecteur des ressources OSPolicyAssignmentReport (
roles/osconfig.osPolicyAssignmentReportViewer
) sur l'organisation ou le dossier -
Lecteur des ressources OSPolicyAssignment (
roles/osconfig.osPolicyAssignmentViewer
) sur l'organisation ou le dossier
-
Lecteur des ressources OSPolicyAssignmentReport (
-
Afficher les rapports d'attribution de règles d'OS pour les VM d'un projet : Lecteur OSPolicyAssignmentReport (
roles/osconfig.osPolicyAssignmentReportViewer
) sur le projet -
Affichez le résumé de la conformité des règles d'OS pour les VM d'une organisation ou d'un dossier (Bêta) :
-
osconfig.osPolicyAssignmentReports.searchSummaries
-
osconfig.osPolicyAssignments.searchPolicies
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
- Contient une ou plusieurs VM sur lesquelles VM Manager est activé et en cours d'exécution.
- Contient une ou plusieurs VM sur lesquelles VM Manager s'est exécuté au cours des sept derniers jours, et des données de conformité aux règles du système d'exploitation sont disponibles.
Dans la console Google Cloud, accédez à la page Compute Engine > VM Manager > Règles d'OS.
Dans la liste déroulante des projets en haut de la console Google Cloud, sélectionnez l'organisation ou le dossier pour lequel vous souhaitez afficher le résumé de la conformité aux règles du système d'exploitation.
Utilisez les options suivantes pour afficher les données de conformité aux règles du système d'exploitation:
- Pour afficher le récapitulatif de conformité des règles du système d'exploitation par projet, cliquez sur l'onglet Projets.
- Pour afficher le résumé de la conformité aux règles du système d'exploitation par règle, cliquez sur l'onglet Règles d'OS.
Facultatif : Spécifiez les critères permettant de calculer le récapitulatif de conformité avec les règles d'OS en utilisant le générateur de requêtes.
Consultez le résumé de la conformité des règles d'OS pour les VM. Le tableau de l'onglet Projets comprend une ligne pour chaque projet, comme illustré dans la figure suivante:
Le tableau répertorie les informations suivantes qui répondent aux critères que vous avez spécifiés dans le générateur de requêtes :
- Projet : nom des projets de l'organisation qui contiennent au moins une VM et sur lesquels VM Manager est activé.
- Nombre total de VM : nombre total de VM dans chaque projet.
- VM surveillées : Nombre de VM du projet sur lesquelles l'agent VM Manager est activé et pour lesquelles la conformité vis-à-vis des règles est en cours d'analyse.
- VM avec stratégie: nombre de VM avec au moins une règle attribuée.
- Conforme: nombre de VM avec toutes les règles attribuées qui sont signalées comme
COMPLIANT
. - Non conforme: nombre de VM avec au moins une stratégie attribuée signalée comme
NON-COMPLIANT
. - Inconnu: nombre de VM avec au moins une règle attribuée signalée comme
UNKNOWN
, et aucune stratégie signalée commeNON-COMPLIANT
. L'étatUNKNOWN
est dû à l'une des raisons suivantes :- La VM n'est pas en cours d'exécution.
- L'agent VM Manager n'est pas activé pour la VM.
- Une erreur s'est produite pendant le processus.
- Aucun rapport: nombre de VM avec des règles attribuées, mais aucun rapport de conformité avec les règles n'a été trouvé pour l'une des raisons suivantes :
- L'agent VM Manager n'est pas activé pour la VM.
- L'analyse de conformité est en cours. Le rapport n'est pas encore prêt.
Facultatif : Appliquez des filtres de table si vous souhaitez afficher des lignes spécifiques dans le tableau récapitulatif de conformité aux règles du système d'exploitation.
Par exemple, si vous souhaitez afficher un résumé de la conformité aux règles du système d'exploitation pour les projets comportant plus de 10 VM, définissez l'option de filtre Nombre total de VM sur
>= 10
.Facultatif : Cliquez sur le nombre de VM pour afficher plus de détails sur les VM d'un état particulier. Par exemple, lorsque vous cliquez sur le nombre de VM pour un projet donné dans la colonne Inconnu, vous ouvrez l'onglet Instances de VM avec la liste des règles d'OS inconnues pour chaque VM du projet.
Pour en savoir plus, consultez la page Afficher les rapports d'attribution de règles d'OS.
Sélectionnez un attribut. Le générateur de requêtes accepte les attributs suivants :
- OS : spécifiez les noms courts des systèmes d'exploitation, tels que
Windows
ouDebian
. - Version d'OS : spécifiez la version du système d'exploitation. Par exemple,
21.04
ou10.0.22000
. Vous pouvez spécifier un seul astérisque (*
) à la fin de la chaîne de version du système d'exploitation afin d'indiquer une correspondance partielle, par exemple10*
. - VM en cours d'exécution : indiquez si vous souhaitez afficher le récapitulatif des correctifs pour les VM à l'état
RUNNING
. - Empreinte numérique de la règle: spécifiez l'empreinte unique de la règle pour la règle d'OS. Lorsque vous définissez cet attribut, VM Manager ne calcule le résumé de la conformité que pour ces règles d'OS avec l'empreinte spécifiée.
- État de conformité: spécifiez l'un des états de conformité de la stratégie :
COMPLIANT
: VM dont toutes les règles attribuées sont signalées commeCOMPLIANT
NON-COMPLIANT
: VM avec au moins une règle attribuée signalée commeNON-COMPLIANT
UNKNOWN
: VM avec au moins une règle attribuée signalée commeUNKNOWN
- OS : spécifiez les noms courts des systèmes d'exploitation, tels que
Choisissez l'un des attributs et spécifiez une valeur pour l'attribut. Par exemple, si vous souhaitez afficher le récapitulatif des correctifs pour les VM avec un système d'exploitation spécifique, sélectionnez OS. Vous obtenez ensuite une liste d'opérateurs de comparaison parmi lesquels effectuer un choix.
- Sélectionnez un opérateur (par exemple,
==
). - Dans le champ Valeur, spécifiez la valeur de comparaison. Par exemple,
Debian
.
- Sélectionnez un opérateur (par exemple,
Pour ajouter un autre attribut, cliquez sur Ajouter une condition.
Cliquez sur Rechercher.
Si vous utilisez VPC Service Controls pour protéger vos services, ajoutez le service Cloud Asset Inventory à votre liste de services autorisés. Pour en savoir plus, consultez la page Services accessibles par VPC.
Dans la console Google Cloud, accédez à la page Règles d'OS > Instances de VM.
Accéder à la page "Instances de VM"
ZONE
: zone où se trouve la VM- Facultatif : Indiquez l'un des éléments suivants :
VM_NAME
: nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OSASSIGNMENT_ID
: ID de l'attribution de règle d'OS pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS
PROJECT_ID
: ID de votre projet.ZONE
: zone où se trouvent les VM.- Facultatif. Indiquez l'une des options suivantes :
VM_NAME
: nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS Si ce paramètre n'est pas requis, utilisez un-
pour la valeur.ASSIGNMENT_ID
: ID de l'attribution de règle d'OS pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS Si ce paramètre n'est pas requis, utilisez un-
pour la valeur.
- Pour afficher les rapports de toutes les VM dans le projet
my-project-12345
et la zoneus-central1-a
, utilisez l'URI suivant :projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Pour afficher les rapports de la VM
my-test-vm
dans le projetmy-project-12345
et située dans la zoneus-central1-a
, utilisez l'URI suivant :projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Pour afficher les rapports de toutes les VM dans le projet
my-project-12345
et la zoneus-central1-a
ayant l'attribution de règle d'OSmy-test-assignment
, utilisez l'URI suivant :projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Si vous utilisez VPC Service Controls pour protéger vos services, ajoutez le service Cloud Asset Inventory à votre liste de services autorisés. Pour en savoir plus, consultez la page Services accessibles par VPC.
Dans la console Google Cloud, accédez à la page Règles d'OS > Instances de VM.
Pour afficher le rapport d'attribution de règle d'OS pour une VM spécifique, cliquez sur le nom de la VM.
Examinez les champs État, Motif de l'état et Journaux. Le champ Journaux fournit un lien vers le tableau de bord Cloud Logging où vous pouvez accéder aux journaux de débogage pour l'agent OS Config s'exécutant sur la VM.
- Pour plus d'informations sur les états de conformité renvoyés, consultez la section
ComplianceState
dans la documentation de référence de l'API. - Pour en savoir plus sur les motifs de conformité renvoyés, consultez le champ
complianceStateReason
dans la documentation de référence de l'APIOSPolicyResourceCompliance
.
Pour résoudre ces problèmes, vous pouvez également consulter les journaux associés aux règles d'OS et effectuer les modifications requises. Pour vérifier les journaux, consultez la page Dépannage de VM Manager.
- Pour plus d'informations sur les états de conformité renvoyés, consultez la section
Pour afficher le rapport d'attribution de règles d'OS pour une VM spécifique, utilisez la commande
os-config os-policy-assignment-reports describe
.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONE
Remplacez les éléments suivants :
OS_POLICY_ASSIGNMENT_ID
: ID de l'attribution de règles d'OS que vous souhaitez examiner pour la VM spécifiéeVM_NAME
: nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OSZONE
: zone où se trouve la VM
Exemple
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-a
Résultat
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'
Examinez les éléments
complianceState
etcomplianceStateReason
.- Pour plus d'informations sur les états de conformité renvoyés, consultez la section
ComplianceState
dans la documentation de référence de l'API. - Pour en savoir plus sur les motifs de conformité renvoyés, consultez le champ
complianceStateReason
dans la documentation de référence de l'APIOSPolicyResourceCompliance
.
Pour résoudre ces problèmes, vous pouvez également consulter les journaux associés aux règles d'OS et effectuer les modifications requises. Pour vérifier les journaux, consultez la page Dépannage de VM Manager.
- Pour plus d'informations sur les états de conformité renvoyés, consultez la section
Dans l'API, envoyez une requête
GET
à la méthodeprojects.locations.osPolicyAssignments.reports.get
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Remplacez l'élément suivant :
PROJECT_ID
: ID de votre projet.ZONE
: zone où se trouve la VMVM_NAME
: nom ou ID de la VM pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OSOS_POLICY_ASSIGNMENT_ID
: ID de l'attribution de règle d'OS pour laquelle vous souhaitez afficher les rapports d'attribution de règles d'OS
Examinez les éléments
complianceState
etcomplianceStateReason
.- Pour plus d'informations sur les états de conformité renvoyés, consultez la section
ComplianceState
dans la documentation de référence de l'API. - Pour en savoir plus sur les motifs de conformité renvoyés, consultez le champ
complianceStateReason
dans la documentation de référence de l'APIOSPolicyResourceCompliance
.
Pour résoudre ces problèmes, vous pouvez également consulter les journaux associés aux règles d'OS et effectuer les modifications requises. Pour vérifier les journaux, consultez la page Dépannage de VM Manager.
- Pour plus d'informations sur les états de conformité renvoyés, consultez la section
- En savoir plus sur les règles de système d'exploitation.
- Gérez les règles d'OS.
REST
Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Pour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud.
Rôles et autorisations requis
Pour obtenir les autorisations nécessaires pour afficher les données de conformité des règles du système d'exploitation, demandez à votre administrateur de vous accorder les rôles IAM suivants:
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Ces rôles prédéfinis contiennent les autorisations requises pour afficher les données de conformité des règles du système d'exploitation. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Vous devez disposer des autorisations suivantes pour afficher les données de conformité des règles du système d'exploitation:
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher le résumé de la conformité des règles d'OS pour toutes les VM d'une organisation ou d'un dossier
Vous pouvez afficher le résumé de la conformité des règles d'OS pour toutes les VM d'une organisation ou d'un dossier à l'aide de la console Google Cloud.
VM Manager n'affiche le résumé de la conformité aux règles du système d'exploitation que pour les projets qui répondent à l'une des exigences suivantes:
Pour afficher les données de conformité aux règles du système d'exploitation, procédez comme suit:
Utiliser le générateur de requêtes pour filtrer les données de conformité aux règles du système d'exploitation
Selon les critères que vous avez spécifiés dans le générateur de requêtes, VM Manager affiche les données de conformité des règles du système d'exploitation pour les VM des projets de votre organisation ou de votre dossier. Vous pouvez ensuite utiliser les filtres de table de la table de conformité des règles de système d'exploitation pour filtrer les données affichées.
Par exemple, lorsque vous définissez l'attribut
OS
dans le générateur de requêtes en tant queDebian
, VM Manager affiche les données de conformité des règles du système d'exploitation pour les VM avec le système d'exploitation Debian. Si vous souhaitez afficher les données de conformité d'un projet spécifique, spécifiez l'ID du projet à l'aide du filtre de table.Pour définir une requête dans le générateur de requêtes de l'onglet Projets, procédez comme suit:
Afficher les rapports d'attribution des règles d'OS
Pour afficher les rapports d'attribution de règles d'OS, vous pouvez utiliser la console Google Cloud, Google Cloud CLI ou REST.
Cette procédure vous permet d'afficher la liste des rapports d'attribution de règles d'OS pour un emplacement spécifié.
Console
gcloud
Pour afficher la liste des rapports d'attribution de règles d'OS, utilisez la commande
os-config os-policy-assignment-reports list
.Pour afficher tous les rapports d'attribution de règles d'OS pour un emplacement spécifique, exécutez la commande suivante. Remplacez
ZONE
par la zone où se trouvent les VM.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Exemple de commande et de résultat (toutes les VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
Vous pouvez également filtrer les résultats à l'aide des options facultatives, telles que
--instance
ou--assignment-id
.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]
Remplacez les éléments suivants :
Exemple de commande et de résultat (VM spécifique)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant
Exemple de commande et de résultat (attribution spécifique)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant
REST
Dans l'API, envoyez une requête
GET
à la méthodeprojects.locations.osPolicyAssignments.reports.list
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Remplacez l'élément suivant :
Exemples :
Examiner un rapport d'attribution de règles d'OS
Utilisez cette procédure pour obtenir une vue détaillée d'un rapport d'attribution de règles d'OS associé à une VM spécifique.
Console
gcloud
REST
Étape suivante
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/12/22 (UTC).
-