Administra asignaciones de políticas del SO

Después de crear una asignación de política del SO, revisa y administra tus asignaciones mediante los siguientes procedimientos:

Puedes administrar las asignaciones de políticas del SO mediante la consola de Google Cloud, Google Cloud CLI o la API de configuración del SO.

Antes de comenzar

  • Revisa las cuotas de configuración del SO.
  • Si aún no lo hiciste, configura la autenticación. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.

Permisos

Los propietarios de un proyecto tienen acceso completo para administrar las asignaciones de políticas de SO. Para el resto de los usuarios, debes otorgar permisos. Para administrar las asignaciones de políticas del SO, puedes otorgar una de las siguientes funciones detalladas:

  • Administrador de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentAdmin). Contiene permisos para crear, borrar, actualizar, obtener y enumerar asignaciones de políticas de SO.
  • Editor de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentEditor). Contiene permisos para actualizar, obtener y enumerar asignaciones de políticas de SO.
  • Visualizador de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentViewer). Contiene permisos de acceso de solo lectura para obtener y enumerar asignaciones de políticas de SO.

Comando de ejemplo para establecer permisos

Para otorgar acceso de administrador de usuarios a las asignaciones de políticas del SO, ejecuta el siguiente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto
  • USER_ID: El nombre de usuario en Google Workspace del usuario.

Actualiza las asignaciones de políticas del SO

Para actualizar una asignación de política de SO, completa los siguientes pasos:

  1. Actualiza el archivo YAML o JSON que tiene la asignación de política de SO.

    La solicitud de actualización admite máscaras de campo. Es posible que solo necesites actualizar ciertos campos en la asignación de políticas del SO y no modificar los otros campos. El comando de actualización o parche usa máscaras de campo para indicarle a la API qué campos se cambian. La solicitud de actualización o parche ignora los campos que no se especifican en la máscara de campo, y los deja con sus valores actuales. Para obtener más información sobre las máscaras de campo, consulta FieldMask.

  2. Actualiza la asignación de políticas del SO mediante la consola de Google Cloud, Google Cloud CLI o la API de configuración del SO.

    Cuando actualizas una asignación de políticas del SO, se crea una implementación. Puedes ver el progreso de actualización si supervisas la implementación. Para obtener más información, consulta Obtén detalles de una implementación.

    Console

    1. En la consola de Google Cloud, ve a la página Políticas del SO > Asignaciones.

      Ir a la consola de Google Cloud

    2. En la asignación de la política del SO que deseas editar, haz clic en Acción () > Editar asignación.

    3. Realiza las actualizaciones necesarias. Por ejemplo, puedes subir el archivo de políticas del SO actualizado.

    4. Haz clic en Iniciar lanzamiento.

    gcloud

    Usa el comando os-config os-policy-assignments update para actualizar una asignación de política de SO.

    gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
        --location=ZONE \
        --file=FILE
    

    Reemplaza lo siguiente:

    • OS_POLICY_ASSIGNMENT_ID: El nombre de la asignación de la política de SO que deseas actualizar.
    • ZONE: La zona en la que se encuentra la asignación de la política del SO.
    • FILE: La ruta absoluta al archivo JSON o YAML que contiene las especificaciones actualizadas de la asignación de políticas del SO

      Si la asignación de política del SO no existe y especificas la marca --allow-missing, VM Manager crea la asignación de política del SO con el ID y las especificaciones especificados.

    REST

    En la API, crea una solicitud PATCH para el método projects.locations.osPolicyAssignments.patch.

    PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
    
    {
     JSON_OS_POLICY
    }
    

    Reemplaza lo siguiente:

    • PROJECT_ID: El ID de tu proyecto
    • OS_POLICY_ASSIGNMENT_ID: El nombre de la asignación de políticas del SO que deseas actualizar
    • JSON_OS_POLICY: son las especificaciones de la asignación de política del SO creadas en el paso anterior. Debe estar en formato JSON. Para obtener más información sobre los parámetros y el formato, consulta Resource: OSPolicyAssignment.
    • ZONE: La zona en la que se encuentra la asignación de la política del SO.

Enumera asignaciones de políticas del SO

Console

  1. En la consola de Google Cloud, ve a la página Políticas del SO > Asignaciones.

    Ir a la consola de Google Cloud

gcloud

Para ver una lista de las asignaciones de políticas del SO en una zona específica, usa el comando os-config os-policy-assignments list.

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

Reemplaza ZONE por la zona en la que se encuentran las asignaciones de políticas del SO.

REST

En la API, crea una solicitud GET para el método projects.locations.osPolicyAssignments.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • ZONE: La zona en la que se encuentran las asignaciones de políticas del SO.

Describe una asignación de política del SO

Console

  1. En la consola de Google Cloud, ve a la página Políticas del SO > Asignaciones.

    Ir a la consola de Google Cloud

  2. Haz clic en el nombre de la asignación cuyos detalles quieres ver.

gcloud

Para ver los detalles de una asignación de política del SO, usa el comando compute os-config os-policy-assignments describe.

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

Reemplaza lo siguiente:

  • OS_POLICY_ASSIGNMENT_ID: El nombre de la asignación de la política del SO que deseas ver
  • ZONE: La zona en la que se encuentra la asignación de la política del SO.

REST

En la API, crea una solicitud GET para el método projects.locations.osPolicyAssignments.get.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • OS_POLICY_ASSIGNMENT_ID: es el nombre de la asignación de la política del SO que deseas ver.
  • ZONE: La zona en la que se encuentra la asignación de la política del SO.

Enumera revisiones de asignaciones de políticas del SO

gcloud

El ID de revisión se genera cuando creas una asignación de políticas del SO. También se genera un ID de revisión nuevo cada vez que actualizas o borras la asignación de política del SO.

Si quieres ver una lista de revisiones disponibles para la asignación de políticas del SO, usa el comando os-config os-policy-assignments list-revisions.

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Reemplaza lo siguiente:

  • OS_POLICY_ASSIGNMENT_ID: es el nombre de la asignación de políticas del SO cuyas revisiones deseas ver.
  • ZONE: La zona en la que se encuentra la asignación de la política del SO.

REST

En la API, crea una solicitud GET para el método projects.locations.osPolicyAssignments.listRevisions.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • OS_POLICY_ASSIGNMENT_ID: es el nombre de la asignación de políticas del SO cuyas revisiones deseas ver.
  • ZONE: La zona en la que se encuentra la asignación de la política del SO.

Borra asignaciones de políticas del SO

Cuando borras una asignación de política del SO, se crea una implementación. Puedes ver el progreso de la eliminación si supervisas la implementación. Para obtener más información, consulta Obtén detalles de una implementación.

Console

  1. En la consola de Google Cloud, ve a la página Políticas del SO > Asignaciones.

    Ir a la consola de Google Cloud

  2. En la asignación de la política del SO que deseas borrar, haz clic en Acción () > Borrar asignación.

  3. Haz clic en Borrar.

gcloud

Para borrar una asignación de política del SO, usa el comando os-config os-policy-assignments delete.

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Reemplaza lo siguiente:

  • OS_POLICY_ASSIGNMENT_ID: Es el nombre de la asignación de la política del SO que deseas borrar.
  • ZONE: La zona en la que se encuentra la asignación de la política del SO.

REST

En la API, crea una solicitud DELETE para el método projects.locations.osPolicyAssignments.delete.

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • OS_POLICY_ASSIGNMENT_ID: El nombre de la asignación de la política del SO que deseas borrar
  • ZONE: La zona en la que se encuentra la asignación de la política del SO.

Soluciona problemas

Para solucionar problemas en la asignación de una política del SO, consulta Soluciona problemas de VM Manager.

Próximos pasos