Conferir relatórios de políticas do SO

Depois que o VM Manager aplica uma atribuição de política de SO a uma instância de máquina virtual (VM), um relatório de atribuição de política do SO é gerado. O relatório contém o status de conformidade de todas as políticas do SO que são aplicadas a uma VM específica para uma determinada atribuição de política do SO.

Este documento descreve as seguintes tarefas:

• Veja o Relatório de conformidade com políticas do SO de todas as VMs em uma organização ou pasta (Pré-lançamento).
• Veja relatórios de atribuição de políticas do SO para todas as VMs em uma zona especificada. Isso é útil para fornecer uma visão geral do status de conformidade em uma zona específica. Consulte Ver relatórios de atribuição de políticas do SO.
• Revise a atribuição de política de SO de uma VM específica. Isso é útil ao analisar o status de conformidade de uma VM específica. Consulte Analisar um relatório de atribuição de políticas do SO.

Antes de começar

• Revise as cotas de configuração do SO.
• Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud. Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine da seguinte maneira.
  

  Selecione a guia para como planeja usar as amostras nesta página:

  Console

  Quando você usa o console do Google Cloud para acessar os serviços e as APIs do Google Cloud, não é necessário configurar a autenticação.

  gcloud

  1. Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:

     gcloud init

  2. Defina uma região e uma zona padrão.

  REST

  Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para a CLI gcloud.

  Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:

  gcloud init

Papéis e permissões necessárias

Para ter as permissões necessárias para ver os dados de conformidade com políticas do SO, peça ao administrador para conceder a você os seguintes papéis do IAM:

• Ver resumo de conformidade com políticas do SO para VMs em uma organização ou pasta (Pré-lançamento):
  • Leitor de OSPolicyAssignmentReport (roles/osconfig.osPolicyAssignmentReportViewer) na organização ou pasta
  • Leitor de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentViewer) na organização ou pasta
• Ver relatórios de atribuição de políticas de SO para VMs em um projeto: Leitor de OSPolicyAssignmentReport (roles/osconfig.osPolicyAssignmentReportViewer) no projeto

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esses papéis predefinidos contêm as permissões necessárias para ver os dados de conformidade com políticas do SO. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Essas permissões também podem ser concedidas com papéis personalizados ou outros papéis predefinidos.

Ver resumo de conformidade com políticas do SO para todas as VMs em uma organização ou pasta

É possível ver o resumo de conformidade com políticas do SO para todas as VMs em uma organização ou pasta usando o console do Google Cloud.

O VM Manager exibe o resumo de conformidade com políticas do SO apenas para os projetos que atendem a um dos seguintes requisitos:

• Contém uma ou mais VMs em que o VM Manager está ativado e em execução.
• Contém uma ou mais VMs em que o VM Manager estava em execução nos últimos sete dias e dados de conformidade com políticas do SO estão disponíveis.

Para ver os dados de conformidade com políticas do SO, realize estas ações:

1. No console do Google Cloud, acesse a página Compute Engine > VM Manager > Políticas do SO.

   Acessar as políticas do SO

2. Na lista suspensa do projeto, na parte superior do console do Google Cloud, selecione a organização ou pasta que você quer para ver o resumo de conformidade com políticas do SO.

3. Use as opções a seguir para ver os dados de conformidade com políticas do SO:

   1. Para ver o resumo de conformidade com políticas do SO por projeto, clique na guia Projetos.
   2. Para ver o resumo de conformidade com políticas do SO por política, clique na guia Políticas do SO.

4. Opcional: especifique os critérios para processar o resumo de conformidade com políticas do SO usando o criador de consultas.

5. Analise o resumo de conformidade com políticas do SO para VMs. A tabela na guia Projetos contém uma linha para cada projeto, conforme mostrado na figura a seguir:

   

   A tabela lista as informações a seguir que atendem aos critérios especificados no criador de consultas:

   • Projeto: o nome dos projetos na organização que contêm pelo menos uma VM e o VM Manager ativado.
   • Total de VMs: número total de VMs em cada projeto.
   • VMs monitoradas: número de VMs do projeto com o agente do VM Manager ativado e que estão sendo verificadas quanto à conformidade com políticas.
   • VMs com política: número de VMs com pelo menos uma política atribuída.
   • Em conformidade: número de VMs com todas as políticas atribuídas relatadas como COMPLIANT.
   • Sem conformidade: número de VMs com pelo menos uma política atribuída relatada como NON-COMPLIANT.
   • Desconhecido: número de VMs com pelo menos uma política atribuída relatada como UNKNOWN e nenhuma política relatada como NON-COMPLIANT. O estado UNKNOWN é devido a um dos seguintes motivos:
     • A VM não está em execução.
     • O agente do VM Manager não está ativado para a VM.
     • Ocorreu um erro durante o processo.
   • Nenhum relatório: número de VMs com políticas atribuídas, mas nenhum relatório de conformidade com políticas foi encontrado devido a um dos seguintes motivos:
     • O agente do VM Manager não está ativado para a VM.
     • A verificação de conformidade está em andamento. O relatório ainda não está pronto.

6. Opcional: aplique filtros de tabela se quiser ver linhas específicas na tabela de resumo de conformidade com políticas do SO.

   

   Por exemplo, se você quiser ver o resumo de conformidade com políticas do SO para projetos que têm mais de 10 VMs, defina a opção de filtro Total de VMs como >= 10.

7. Opcional: clique no número de VMs para acessar mais detalhes sobre as VMs em um estado específico. Por exemplo, clicar no número de VMs de um determinado projeto na coluna Desconhecido abre a guia Instâncias de VM com uma lista de políticas de SO desconhecidas para cada nesse projeto.

   

   Para mais informações, consulte Acessar relatórios de atribuição de políticas do SO.

Usar o criador de consultas para filtrar dados de conformidade com políticas do SO

Com base nos critérios especificados no criador de consultas, o VM Manager exibe os dados de conformidade com políticas do SO para VMs nos projetos da organização ou pasta. É possível usar os filtros na tabela de conformidade com políticas do SO para filtrar os dados exibidos.

Por exemplo, quando você define o atributo OS no criador de consultas como Debian, o VM Manager exibe os dados de conformidade com políticas do SO para VMs com o SO Debian. Para acessar os dados de compliance de um projeto específico, use o filtro de tabela para especificar o ID do projeto.

Para definir uma consulta no criador de consultas na guia Projetos, realize estas ações:

1. Selecione um Atributo. O criador de consultas é compatível com os seguintes atributos:

   • SO: especifique os nomes curtos dos sistemas operacionais, como Windows ou Debian.
   • Versão do SO: especifique a versão do sistema operacional. Por exemplo, 21.04 ou 10.0.22000. É possível especificar um único asterisco (*) no final da string da versão do SO para indicar correspondência parcial, por exemplo, 10*.
   • VM em execução: especifique se você quiser ver o resumo do patch para VMs que estão no estado RUNNING.
   • Impressão digital da política: especifique a impressão digital exclusiva da política do SO. Quando você define esse atributo, o VM Manager processa o resumo de conformidade apenas para as políticas do SO com a impressão digital especificada.
   • Estado de conformidade: especifique um dos estados de conformidade da política:
     • COMPLIANT: VMs com todas as políticas atribuídas relatadas como COMPLIANT
     • NON-COMPLIANT: VMs com pelo menos uma política atribuída relatada como NON-COMPLIANT
     • UNKNOWN: VMs com pelo menos uma política atribuída relatada como UNKNOWN

2. Escolha um dos atributos e especifique um valor para ele. Por exemplo, se você quiser ver o resumo do patch para VMs com um sistema operacional específico, selecione SO. Em seguida, você verá uma lista de operadores de comparação para escolher.

   1. Selecione um Operador, por exemplo, ==.
   2. No campo Valor, especifique o valor de comparação. Por exemplo, Debian.

3. Para incluir outro atributo, clique em Adicionar condição.

4. Clique em Pesquisar.

Ver relatórios de atribuição da política do SO

Para ver os relatórios de atribuição de políticas do SO, use o console do Google Cloud, a CLI do Google Cloud ou a REST.

Use este procedimento para ver uma lista de relatórios de atribuição de políticas do SO de um local especificado.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Analisar um relatório de atribuição de políticas do SO

Use este procedimento para ver detalhes de um relatório de atribuição de políticas do SO associado a uma VM específica.

A seguir

• Saiba mais sobre as políticas do SO.
• Gerencie políticas do SO.