Ver informes de políticas de SO

Después de que Gestor de VMs aplique una asignación de política de SO a una instancia de máquina virtual (VM), se genera un informe de asignación de política de SO. El informe contiene el estado de cumplimiento de todas las políticas de SO que se aplican a una máquina virtual específica en una asignación de políticas de SO determinada.

En este documento se describen las siguientes tareas:

Antes de empezar

  • Consulta las cuotas de OS Config.
  • Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    2. Set a default region and zone.

    REST

    Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

      Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Roles y permisos necesarios

Para obtener los permisos que necesitas para ver los datos de cumplimiento de las políticas de SO, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver los datos de cumplimiento de las políticas del SO. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para ver los datos de cumplimiento de las políticas del SO, se necesitan los siguientes permisos:

  • Para ver un resumen del cumplimiento de las políticas de SO de las VMs de una organización o una carpeta, sigue estos pasos:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Ver el resumen del cumplimiento de las políticas de SO de todas las máquinas virtuales de una organización o una carpeta

Puedes ver el resumen del cumplimiento de las políticas del SO de todas las máquinas virtuales de una organización o una carpeta mediante la Google Cloud consola.

Gestor de VMs solo muestra el resumen del cumplimiento de las políticas de SO de los proyectos que cumplan uno de los siguientes requisitos:

  • Contiene una o varias máquinas virtuales en las que VM Manager está habilitado y en ejecución.
  • Contiene una o varias VMs en las que se ha ejecutado VM Manager en los últimos 7 días y hay datos de cumplimiento de políticas de SO disponibles.

Para ver los datos de cumplimiento de la política del SO, haz lo siguiente:

  1. En la Google Cloud consola, ve a Compute Engine > Gestor de VMs > Políticas de SO.

    Ir a las políticas de SO

  2. En la lista desplegable de proyectos de la parte superior de la Google Cloud consola, selecciona la organización o la carpeta de la que quieras ver el resumen de cumplimiento de la política de SO.

  3. Usa las siguientes opciones para ver los datos de cumplimiento de las políticas del SO:

    1. Para ver un resumen del cumplimiento de las políticas de SO por proyecto, haga clic en la pestaña Proyectos.
    2. Para ver un resumen del cumplimiento de las políticas del SO por política, haga clic en la pestaña Políticas del SO.

  4. Opcional: Especifica los criterios para calcular el resumen del cumplimiento de la política del SO con el creador de consultas.

  5. Consulta el resumen del cumplimiento de las políticas del SO de las máquinas virtuales. La tabla de la pestaña Proyectos incluye una fila por cada proyecto, como se muestra en la siguiente imagen:

    Resumen de las políticas de SO de todos los proyectos.

    En la tabla se muestra la siguiente información que cumple los criterios que ha especificado en el creador de consultas:

    • Proyecto: el nombre de los proyectos de la organización que contienen al menos una VM y tienen habilitado VM Manager.
    • Total de VMs: número total de VMs de cada proyecto.
    • VMs monitorizadas: número de VMs del proyecto que tienen habilitado el agente de VM Manager y se están analizando para comprobar si cumplen las políticas.
    • VMs con política: número de VMs a las que se ha asignado al menos una política.
    • Cumplimiento: número de máquinas virtuales cuyas políticas asignadas se han notificado como COMPLIANT.
    • No cumple los requisitos: número de máquinas virtuales con al menos una política asignada que se ha notificado como NON-COMPLIANT.
    • Desconocido: número de máquinas virtuales con al menos una política asignada que se ha notificado como UNKNOWN y ninguna política que se haya notificado como NON-COMPLIANT. El estado UNKNOWN se debe a uno de los siguientes motivos:
      • La VM no se está ejecutando.
      • El agente de VM Manager no está habilitado en la VM.
      • Se ha producido un error durante el proceso.
    • Sin informe: número de máquinas virtuales con políticas asignadas, pero no se ha encontrado ningún informe de cumplimiento de las políticas por uno de los siguientes motivos:
      • El agente de VM Manager no está habilitado en la VM.
      • El análisis de cumplimiento está en curso. El informe aún no está listo.

  6. Opcional: Aplique filtros a la tabla si quiere ver filas específicas en la tabla de resumen de cumplimiento de la política de SO.

    Filtro de tabla en la tabla de resumen de políticas.

    Por ejemplo, si quiere ver el resumen del cumplimiento de las políticas de SO de los proyectos que tienen más de 10 VMs, defina la opción de filtro Total de VMs en >= 10.

  7. Opcional: Haz clic en el número de máquinas virtuales para ver más detalles sobre las máquinas virtuales en un estado concreto. Por ejemplo, si haces clic en el número de VMs de un proyecto concreto en la columna Desconocido, se abrirá la pestaña Instancias de VM con una lista de políticas de SO desconocidas de cada VM de ese proyecto.

    Pestaña Instancias de VM con políticas de SO desconocidas.

    Para obtener más información, consulta Ver informes de asignación de políticas de SO.

Usar el creador de consultas para filtrar datos de cumplimiento de políticas de SO

En función de los criterios que hayas especificado en el creador de consultas, Gestor de VMs muestra los datos de cumplimiento de la política de SO de las VMs de los proyectos de tu organización o carpeta. Después, puede usar los filtros de la tabla de cumplimiento de las políticas del SO para filtrar los datos que se muestran.

Por ejemplo, si define el atributo OS en el Generador de consultas como Debian, VM Manager muestra los datos de cumplimiento de la política del SO de las VMs con SO Debian. Si quiere ver los datos de cumplimiento de un proyecto concreto, use el filtro de tabla para especificar el ID del proyecto.

Creador de consultas con un atributo.

Para definir una consulta en el creador de consultas de la pestaña Proyectos, sigue estos pasos:

  1. Seleccione un Atributo. El generador de consultas admite los siguientes atributos:

    • SO: especifique los nombres abreviados de los sistemas operativos, como Windows o Debian.
    • Versión del SO: especifique la versión del sistema operativo. Por ejemplo, 21.04 o 10.0.22000. Puede especificar un asterisco (*) al final de la cadena de la versión del SO para indicar una coincidencia parcial. Por ejemplo, 10*.
    • VM en ejecución: especifica si quieres ver el resumen de los parches de las VMs que están en el estado RUNNING.
    • Huella digital de la política: especifica la huella digital única de la política del SO. Cuando define este atributo, Gestor de VMs calcula el resumen de cumplimiento solo para las políticas de SO con la huella digital especificada.
    • Estado de cumplimiento: especifique uno de los estados de cumplimiento de la política:
      • COMPLIANT: VMs with all assigned policies reported as COMPLIANT
      • NON-COMPLIANT: VMs with at least one assigned policy reported as NON-COMPLIANT
      • UNKNOWN: VMs with at least one assigned policy reported as UNKNOWN

  2. Elige uno de los atributos y especifica un valor para él. Por ejemplo, si quiere ver el resumen de los parches de las máquinas virtuales con un sistema operativo específico, seleccione SO. A continuación, se muestra una lista de operadores de comparación para que elijas el que quieras.

    1. Selecciona un operador, por ejemplo, ==.
    2. En el campo Valor, especifica el valor de comparación. Por ejemplo, Debian.

  3. Para añadir otro atributo, haz clic en Añadir condición.

  4. Haz clic en Buscar.

Ver informes de asignación de políticas de SO

Para ver los informes de asignación de políticas de SO, puedes usar la Google Cloud consola, Google Cloud CLI o REST.

Sigue este procedimiento para ver una lista de informes de asignación de políticas de SO de una ubicación específica.

Consola

  1. Si usas Controles de Servicio de VPC para proteger tus servicios, añade el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Para obtener más información, consulta Servicios accesibles de VPC.

  2. En la consola de Google Cloud , ve a la página Políticas de SO > Instancias de VM.

    Ir a instancias de VM

gcloud

Para ver una lista de informes de asignación de políticas de SO, usa el comando os-config os-policy-assignment-reports list.

Para ver todos los informes de asignación de políticas de SO de una ubicación concreta, ejecuta el siguiente comando. Sustituye ZONE por la zona en la que se encuentran las VMs.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Ejemplo de comando y salida (todas las VMs)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

También puedes usar marcas opcionales como --instance o --assignment-id para filtrar los resultados.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Haz los cambios siguientes:

  • ZONE: la zona en la que se encuentra la VM
  • Opcional: proporcione uno de los siguientes elementos:
    • VM_NAME: el nombre o el ID de la VM de la que quieres ver los informes de asignación de políticas del SO
    • ASSIGNMENT_ID: el ID de la asignación de política de SO de la que quieres ver los informes

Ejemplo de comando y salida (VM específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Ejemplo de comando y resultado (asignación específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

En la API, crea una solicitud GET al método projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Haz los cambios siguientes:

  • PROJECT_ID: tu ID de proyecto
  • ZONE: la zona en la que se encuentran las VMs
  • Opcional. Proporcione uno de los siguientes elementos:
    • VM_NAME: el nombre o el ID de la VM de la que quieres ver los informes de asignación de políticas del SO. Si no es obligatorio, usa - como valor.
    • ASSIGNMENT_ID: el ID de la asignación de política de SO de la que quieres ver los informes. Si no es necesario, usa - como valor.

Ejemplos:

  • Para ver los informes de todas las VMs del proyecto my-project-12345 y la zona us-central1-a, usa el siguiente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Para ver los informes de la VM my-test-vm del proyecto my-project-12345, que se encuentra en la zona us-central1-a, usa el siguiente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Para ver los informes de todas las VMs del proyecto my-project-12345 y la zona us-central1-a que tengan la asignación de política de SO my-test-assignment, usa el siguiente URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Consultar un informe de asignación de política de SO

Sigue este procedimiento para obtener una vista detallada de un informe de asignación de políticas de SO asociado a una VM específica.

Consola

  1. Si usas Controles de Servicio de VPC para proteger tus servicios, añade el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Para obtener más información, consulta Servicios accesibles de VPC.

  2. En la consola de Google Cloud , ve a la página Políticas de SO > Instancias de VM.

    Ir a la Google Cloud consola

  3. Para ver el informe de asignación de políticas de SO de una máquina virtual específica, haz clic en su nombre.

    Ver el cumplimiento de las VMs.

  4. Revisa los campos Estado, Motivo del estado y Registros. El campo Registros proporciona un enlace al panel de control de Cloud Logging, donde puede acceder a los registros de depuración del agente de configuración del SO que se ejecuta en la VM.

    Para solucionar estos problemas, también puedes consultar los registros de la política del SO y hacer los cambios necesarios. Para consultar los registros, consulta Solucionar problemas de VM Manager.

gcloud

  1. Para ver el informe de asignación de políticas de SO de una VM específica, usa el comando os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

    Haz los cambios siguientes:

    • OS_POLICY_ASSIGNMENT_ID: el ID de la asignación de la política del SO que quieres revisar en la VM especificada
    • VM_NAME: el nombre o el ID de la VM de la que quieres ver el informe de asignación de políticas del SO
    • ZONE: la zona en la que se encuentra la VM

    Ejemplo

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

    Salida

    instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

  2. Consulta las complianceState y los complianceStateReason.

    Para solucionar estos problemas, también puedes consultar los registros de la política del SO y hacer los cambios necesarios. Para consultar los registros, consulta Solucionar problemas de VM Manager.

REST

  1. En la API, crea una solicitud GET al método projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

    Haz los cambios siguientes:

    • PROJECT_ID: tu ID de proyecto
    • ZONE: la zona en la que se encuentra la VM
    • VM_NAME: el nombre o el ID de la VM de la que quieres ver el informe de asignación de políticas del SO
    • OS_POLICY_ASSIGNMENT_ID: el ID de la asignación de la política del SO de la que quieres ver el informe

  2. Consulta las complianceState y los complianceStateReason.

    Para solucionar estos problemas, también puedes consultar los registros de la política del SO y hacer los cambios necesarios. Para consultar los registros, consulta Solucionar problemas de VM Manager.

Siguientes pasos