Gestionar asignaciones de políticas de SO

Después de crear una asignación de política de SO, revisa y gestiona tus asignaciones siguiendo estos procedimientos:

• Actualizar asignaciones de políticas de SO: modifica las configuraciones de tu asignación de políticas de SO.
• Describe las asignaciones de políticas de SO: obtén información sobre una asignación de política de SO específica.
• Listar asignaciones de políticas de SO: consulta una lista de asignaciones de políticas de SO en una zona específica.
• Lista de revisiones de asignaciones de políticas de SO: consulta una lista de las revisiones disponibles para una asignación de política de SO específica.
• Eliminar una asignación de política de SO: elimina una asignación de política de SO específica.
• Depurar una asignación de política de SO: solucionar problemas de una asignación de política de SO

Puedes gestionar tus asignaciones de políticas de SO con la Google Cloud consola, la CLI de Google Cloud o la API OS Config.

Antes de empezar

• Consulta las cuotas de OS Config.
• Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:

     gcloud init

     Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  2. Set a default region and zone.

  REST

  Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

  Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:

  gcloud init

  Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Permisos

Los propietarios de un proyecto tienen acceso completo para gestionar las asignaciones de políticas de SO. En el caso del resto de los usuarios, debes conceder permisos. Para gestionar las asignaciones de políticas de SO, puedes conceder uno de los siguientes roles granulares:

• Administrador de asignaciones de políticas de SO (roles/osconfig.osPolicyAssignmentAdmin). Contiene permisos para crear, eliminar, actualizar, obtener y enumerar asignaciones de políticas de SO.
• Editor de asignaciones de políticas de SO (roles/osconfig.osPolicyAssignmentEditor). Contiene permisos para actualizar, obtener y mostrar asignaciones de políticas de SO.
• Lector de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentViewer). Contiene permisos de acceso de solo lectura para obtener y enumerar asignaciones de políticas de SO.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

Actualizar asignaciones de políticas de SO

Para actualizar una asignación de política de SO, sigue estos pasos:

1. Actualiza el archivo YAML o JSON que tiene asignada la política del SO.

   La solicitud de actualización admite máscaras de campo. Es posible que solo tengas que actualizar determinados campos de la asignación de la política del SO y dejar el resto sin modificar. Los comandos de actualización o de parche usan máscaras de campo para indicar a la API qué campos se han cambiado. La solicitud de actualización o de parche ignora los campos que no se especifican en la máscara de campo y los deja con sus valores actuales. Para obtener más información sobre las máscaras de campo, consulta FieldMask.

2. Actualiza la asignación de la política de SO mediante la Google Cloud consola, la CLI de Google Cloud o la API OS Config.

   Cuando actualizas una asignación de política de SO, se crea un lanzamiento. Puedes ver el progreso de la actualización monitorizando el lanzamiento. Para obtener más información, consulta Ver los detalles de un lanzamiento.

   Consola

   1. En la Google Cloud consola, ve a la página Políticas de SO > Asignaciones.

      Ir a la Google Cloud consola

   2. En la asignación de la política del SO que quieras editar, haz clic en Acción (more_vert) > Editar asignación.

   3. Haz los cambios necesarios. Por ejemplo, puedes subir el archivo de política del SO actualizado.

   4. Haz clic en Iniciar lanzamiento.

   gcloud

   Usa el comando os-config os-policy-assignments update para actualizar una asignación de política de SO.

   gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
       --location=ZONE \
       --file=FILE
   

   Haz los cambios siguientes:

   • OS_POLICY_ASSIGNMENT_ID: el nombre de la asignación de la política del SO que quieras actualizar
   • ZONE: la zona en la que se encuentra la asignación de la política del SO

   • FILE: la ruta absoluta al archivo JSON o YAML que contiene las especificaciones actualizadas de asignación de la política del SO

     Si no existe la asignación de la política del SO y especifica la marca --allow-missing, VM Manager crea la asignación de la política del SO con el ID y las especificaciones indicados.

   REST

   En la API, crea una solicitud PATCH al método projects.locations.osPolicyAssignments.patch.

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
   
   {
    JSON_OS_POLICY
   }
   

   Haz los cambios siguientes:

   • PROJECT_ID: tu ID de proyecto
   • OS_POLICY_ASSIGNMENT_ID: nombre de la asignación de la política del SO que quieras actualizar
   • JSON_OS_POLICY: las especificaciones de la asignación de política de SO creadas en el paso anterior. Debe estar en formato JSON. Para obtener más información sobre los parámetros y el formato, consulta Resource: OSPolicyAssignment.
   • ZONE: la zona en la que se encuentra la asignación de la política del SO

Mostrar asignaciones de políticas de SO

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments

Describe una asignación de política de SO

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Mostrar las revisiones de una asignación de política de SO

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

Eliminar asignaciones de políticas de SO

Cuando eliminas una asignación de política de SO, se crea un lanzamiento. Puedes ver el progreso de la eliminación monitorizando el lanzamiento. Para obtener más información, consulta Ver los detalles de un lanzamiento.

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Solución de problemas

Para solucionar problemas con la asignación de una política de SO, consulta Solucionar problemas de VM Manager.

Siguientes pasos

• Consulta más información sobre las políticas de SO.
• Crea una asignación de política de SO.