管理操作系统政策分配

创建操作系统政策分配任务后，请按以下步骤查看和管理您的分配任务：

• 更新操作系统政策分配任务：修改操作系统政策分配任务的配置
• 描述操作系统政策分配任务：获取有关特定操作系统政策分配任务的详细信息
• 列出操作系统政策分配任务：查看特定可用区中的操作系统政策分配任务列表
• 列出操作系统政策分配任务修订版本：查看可用于特定操作系统政策分配任务的修订版本列表
• 删除操作系统政策分配任务：删除特定的操作系统政策分配任务
• 调试操作系统政策分配任务：排查操作系统政策分配任务问题

您可以使用 Google Cloud 控制台、Google Cloud CLI 或 OS Config API 管理操作系统政策分配。

准备工作

• 查看 OS Config 配额。
• 如果您尚未设置身份验证，请进行设置。身份验证用于验证您的身份，以便访问 Google Cloud 服务和 API。如需从本地开发环境运行代码或示例，您可以通过选择以下选项之一向 Compute Engine 进行身份验证：

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. 安装 Google Cloud CLI。 安装完成后，运行以下命令来初始化 Google Cloud CLI：

     gcloud init

     如果您使用的是外部身份提供方 (IdP)，则必须先使用联合身份登录 gcloud CLI。

  2. Set a default region and zone.

  REST

  如需在本地开发环境中使用本页面上的 REST API 示例，请使用您提供给 gcloud CLI 的凭证。

  安装 Google Cloud CLI。 安装完成后，运行以下命令来初始化 Google Cloud CLI：

  gcloud init

  如果您使用的是外部身份提供方 (IdP)，则必须先使用联合身份登录 gcloud CLI。

  如需了解详情，请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证。

权限

项目的所有者拥有管理操作系统政策分配的完整访问权限。对于所有其他用户，您需要为其授予权限。如需管理操作系统政策分配，您可以授予以下其中一种精细角色：

• OSPolicyAssignment Admin (roles/osconfig.osPolicyAssignmentAdmin)。包含创建、删除、更新、获取和列出操作系统政策分配的权限。
• OSPolicyAssignment Editor (roles/osconfig.osPolicyAssignmentEditor)。包含更新、获取和列出操作系统政策分配的权限。
• OSPolicyAssignment Viewer (roles/osconfig.osPolicyAssignmentViewer)。包含获取和列出操作系统政策分配所需的只读权限。

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

更新操作系统政策分配任务

如需更新操作系统政策分配任务，请完成以下步骤：

1. 更新包含操作系统政策分配任务的 YAML 或 JSON 文件。

   更新请求支持使用字段掩码。在更新其他字段时，您可能只需要更新操作系统政策分配任务中的某些字段。update 或 patch 命令使用字段掩码来告知 API 更改了哪些字段。更新或修补请求会忽略字段掩码中未指定的任何字段，并使用其当前值。 如需详细了解字段掩码，请参阅 FieldMask。

2. 使用 Google Cloud 控制台、Google Cloud CLI 或 OS Config API 更新操作系统政策分配。

   更新操作系统政策分配任务时，系统会创建发布。您可以通过监控发布来查看更新的进度。如需了解详情，请参阅获取发布详情。

   控制台

   1. 在 Google Cloud 控制台中，依次前往操作系统政策 > 分配页面。

      前往 Google Cloud 控制台。

   2. 对于要修改的操作系统政策分配，请点击操作 (more_vert)> 修改分配。

   3. 进行所需的更新。例如，您可以上传更新后的操作系统政策文件。

   4. 点击开始发布。

   gcloud

   使用 os-config os-policy-assignments update 命令更新操作系统政策分配任务。

   gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
       --location=ZONE \
       --file=FILE
   

   请替换以下内容：

   • OS_POLICY_ASSIGNMENT_ID：您要更新的操作系统政策分配任务的名称
   • ZONE：操作系统政策分配任务所在的可用区

   • FILE：包含更新后的操作系统政策分配任务规范的 JSON 或 YAML 文件的绝对路径

     如果不存在操作系统政策分配，且您指定了 --allow-missing 标志，则虚拟机管理器会创建具有指定 ID 和规范的操作系统政策分配。

   REST

   在 API 中，创建对 projects.locations.osPolicyAssignments.patch 方法的 PATCH 请求。

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
   
   {
    JSON_OS_POLICY
   }
   

   请替换以下内容：

   • PROJECT_ID：您的项目 ID
   • OS_POLICY_ASSIGNMENT_ID：您要更新的操作系统政策分配任务的名称
   • JSON_OS_POLICY：上一步中创建的操作系统政策分配任务规范。此文件必须采用 JSON 格式。 如需详细了解参数和格式，请参阅 Resource: OSPolicyAssignment。
   • ZONE：操作系统政策分配任务所在的可用区

列出操作系统政策分配任务

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments

描述操作系统政策分配任务

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

列出操作系统政策分配任务修订版本

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

删除操作系统政策分配任务

删除操作系统政策分配任务时，系统会创建发布。您可以通过监控发布来查看删除的进度。如需了解详情，请参阅获取发布详情。

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

问题排查

如需排查操作系统政策分配问题，请参阅虚拟机管理器问题排查。

后续步骤

• 详细了解操作系统政策。
• 创建操作系统政策分配任务。