Questa pagina descrive i prerequisiti per l'utilizzo della funzionalità di orchestratore dei criteri in VM Manager.
Configurare un progetto quota per le orchestrazioni di organizzazioni e cartelle
Quando utilizzi gli agenti di orchestrazione delle policy per gestire le risorse delle policy del sistema operativo nelle cartelle o nell'organizzazione, invii richieste a un'API basata su client. Per le API basate su client è necessario un progetto quota. Per ulteriori informazioni sulle API basate su client e sulla configurazione dei progetti quota, consulta la Panoramica dei progetti quota.
Quando utilizzi l'interfaccia a riga di comando gcloud o l'API REST per chiamare i metodi dell'orchestratore delle norme, specifica il progetto quota come segue:
gcloud
Imposta il progetto quota nella proprietà di configurazione dell'interfaccia a riga di comando gcloud:
gcloud config set billing/quota_project QUOTA_PROJECT_ID
Sostituisci QUOTA_PROJECT_ID
con l'ID del progetto quota.
In alternativa, imposta il progetto quota per un comando specifico utilizzando il
--billing-project
flag, che ha la precedenza sulla proprietà di configurazione.
REST
Aggiungi l'intestazione HTTP x-goog-user-project
per specificare un progetto quota in ogni richiesta. Per maggiori dettagli, consulta Impostare il progetto quota con una richiesta REST.
Abilita l'API OS Config
Per utilizzare la funzionalità di orchestrazione delle policy in VM Manager, attiva l'API OS Config nei seguenti progetti:
- Per le orchestrazioni a livello di organizzazione e di cartella, abilita l'API OS Config per il progetto quota.
- Per le orchestrazioni a livello di progetto, abilita l'API OS Config nel progetto in cui crei gli orchestratori delle policy.
Per ulteriori informazioni, vedi Attivare l'API OS Config.
Abilita l'API Progressive Rollout per i progetti
Console
Nella console Google Cloud, seleziona il progetto Google Cloud per cui vuoi attivare l'API, quindi vai alla pagina API e servizi:
Fai clic su Abilita API e servizi.
Cerca "Implementazione graduale".
Nei risultati di ricerca, fai clic su API Progressive Rollout.
Se l'API non è già abilitata, fai clic su Abilita.
gcloud
Per verificare se l'API Progressive Rollout è abilitata, esegui il seguente comando dopo aver sostituito
PROJECT_ID
con l'ID del progetto per cui vuoi abilitare l'API:gcloud services list --project=PROJECT_ID
Se nell'output viene visualizzato
progressiverollout.googleapis.com
, l'API è attivata.Se l'API non è abilitata, esegui il seguente comando per abilitarla:
gcloud services enable progressiverollout.googleapis.com
Per ulteriori informazioni, consulta
gcloud services
.
Configura gli agenti di servizio OS Config
L'agente di orchestrazione delle policy utilizza gli agenti di servizio OS Config per eseguire azioni nei tuoi progetti. Dipende anche dall'API Progressive Rollout, che ha i propri agenti di servizio. Per ulteriori informazioni, consulta Agenti di servizio.
Devi creare gli agenti di servizio per ogni progetto, cartella o organizzazione in cui crei l'orchestratore dei criteri.
Per creare gli agenti di servizio:
Controlla il formato dell'indirizzo email dell'agente di servizio per ogni risorsa:
Progetto
service-PROJECT_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com
service-PROJECT_NUMBER@gcp-sa-osconfig-rollout.iam.gserviceaccount.com
service-PROJECT_NUMBER@gcp-sa-progrollout.iam.gserviceaccount.com
Sostituisci
PROJECT_NUMBER
con l'ID numerico del progetto in cui crei gli orchestratori dei criteri.Cartella
service-folder-FOLDER_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com
service-folder-FOLDER_NUMBER@gcp-sa-osconfig-rollout.iam.gserviceaccount.com
service-folder-FOLDER_NUMBER@gcp-sa-progrollout.iam.gserviceaccount.com
Sostituisci
FOLDER_NUMBER
con l'ID numerico della cartella in cui crei gli agenti di orchestrazione dei criteri.Organizzazione
service-org-ORGANIZATION_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com
service-org-ORGANIZATION_NUMBER@gcp-sa-osconfig-rollout.iam.gserviceaccount.com
service-org-ORGANIZATION_NUMBER@gcp-sa-progrollout.iam.gserviceaccount.com
Sostituisci
ORGANIZATION_NUMBER
con l'ID numerico dell'organizzazione in cui crei gli agenti di orchestrazione dei criteri.Per creare l'agente di servizio per un'API e una risorsa specificate, usa il comando
gcloud beta services identity create
:Progetto
gcloud beta services identity create --service=osconfig.googleapis.com --project=PROJECT_NUMBER
gcloud beta services identity create --service=progressiverollout.googleapis.com --project=PROJECT_NUMBER
Sostituisci
PROJECT_NUMBER
con l'ID numerico del progetto in cui vuoi creare l'agente di servizio.Cartella
gcloud beta services identity create --service=osconfig.googleapis.com --folder=FOLDER_NUMBER
gcloud beta services identity create --service=progressiverollout.googleapis.com --folder=FOLDER_NUMBER
Sostituisci
FOLDER_NUMBER
con l'ID numerico della cartella in cui vuoi creare l'agente di servizio.Organizzazione
gcloud beta services identity create --service=osconfig.googleapis.com --organization=ORGANIZATION_NUMBER
gcloud beta services identity create --service=progressiverollout.googleapis.com --organization=ORGANIZATION_NUMBER
Sostituisci
ORGANIZATION_NUMBER
con l'ID numerico dell'organizzazione in cui vuoi creare l'agente di servizio.
Concedi i ruoli IAM agli agenti di servizio
Affinché l'orchestratore dei criteri funzioni correttamente, devi concedere tutti i ruoli degli agenti di servizio richiesti ai rispettivi account di servizio, nella risorsa principale dell'orchestratore:
- Agente di servizio OSConfig (
roles/osconfig.serviceAgent
) per l'account @gcp-sa-osconfig.iam.gserviceaccount.com - Agente di servizio di implementazione di OS Config (
roles/osconfig.rolloutServiceAgent
) per l'account @gcp-sa-osconfig-rollout.iam.gserviceaccount.com - Agente di servizio Progressiverollout (
roles/progressiverollout.serviceAgent
) per l'account @gcp-sa-progrollout.iam.gserviceaccount.com
Per concedere i ruoli IAM agli agenti di servizio, utilizza la console Google Cloud o il comando add-iam-policy-binding
.
Per ulteriori informazioni, vedi Concedere un ruolo all'agente di servizio.
Ruoli obbligatori
-
Per ottenere le autorizzazioni necessarie per concedere l'accesso agli agenti di servizio, chiedi all'amministratore di concederti i seguenti ruoli IAM per il progetto, la cartella o l'organizzazione a cui stai concedendo l'accesso:
-
Concedi agli agenti di servizio l'accesso a un progetto:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin
) -
Concedi agli agenti di servizio l'accesso a una cartella:
Amministratore cartella (
roles/resourcemanager.folderAdmin
) -
Concedi agli agenti di servizio l'accesso a progetti, cartelle e organizzazioni:
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per concedere l'accesso agli agenti di servizio. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per concedere l'accesso agli agenti di servizio sono necessarie le seguenti autorizzazioni:
-
Concedi agli agenti di servizio l'accesso a un progetto:
-
resourcemanager.projects.getIamPolicy
-
resourcemanager.projects.setIamPolicy
-
-
Concedi agli agenti di servizio l'accesso a una cartella:
-
resourcemanager.folders.getIamPolicy
-
resourcemanager.folders.setIamPolicy
-
-
Concedi agli agenti di servizio l'accesso a un'organizzazione:
-
resourcemanager.organizations.getIamPolicy
-
resourcemanager.organizations.setIamPolicy
-
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
-
Concedi agli agenti di servizio l'accesso a un progetto:
Project IAM Admin (
Per concedere i ruoli dell'agente di servizio, esegui gcloud add-iam-policy-binding
come segue:
Progetto
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-osconfig-rollout.iam.gserviceaccount.com" \ --role="roles/osconfig.rolloutServiceAgent"
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com" \ --role="roles/osconfig.serviceAgent"
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-progrollout.iam.gserviceaccount.com" \ --role="roles/progressiverollout.serviceAgent"
Sostituisci PROJECT_NUMBER
con l'ID numerico del progetto a cui viene aggiunta l'associazione del criterio IAM.
Cartella
gcloud resource-manager folders add-iam-policy-binding FOLDER_NUMBER \ --member="serviceAccount:service-folder-FOLDER_NUMBER@gcp-sa-osconfig-rollout.iam.gserviceaccount.com" \ --role="roles/osconfig.rolloutServiceAgent"
gcloud resource-manager folders add-iam-policy-binding FOLDER_NUMBER \ --member="serviceAccount:service-folder-FOLDER_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com" \ --role="roles/osconfig.serviceAgent"
gcloud resource-manager folders add-iam-policy-binding FOLDER_NUMBER \ --member="serviceAccount:service-folder-FOLDER_NUMBER@gcp-sa-progrollout.iam.gserviceaccount.com" \ --role="roles/progressiverollout.serviceAgent"
Sostituisci FOLDER_NUMBER
con l'ID numerico della
cartella a cui viene aggiunta l'associazione del criterio IAM.
Organizzazione
gcloud organizations add-iam-policy-binding ORGANIZATION_NUMBER \ --member="serviceAccount:service-org-ORGANIZATION_NUMBER@gcp-sa-osconfig-rollout.iam.gserviceaccount.com" \ --role="roles/osconfig.rolloutServiceAgent"
gcloud organizations add-iam-policy-binding ORGANIZATION_NUMBER \ --member="serviceAccount:service-org-ORGANIZATION_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com" \ --role="roles/osconfig.serviceAgent"
gcloud organizations add-iam-policy-binding ORGANIZATION_NUMBER \ --member="serviceAccount:service-org-ORGANIZATION_NUMBER@gcp-sa-progrollout.iam.gserviceaccount.com" \ --role="roles/progressiverollout.serviceAgent"
Sostituisci ORGANIZATION_NUMBER
con l'ID numerico
dell'organizzazione a cui viene aggiunto il vincolo del criterio IAM.
Passaggi successivi
- Scopri come gestire le assegnazioni delle policy del sistema operativo utilizzando l'agente di orchestrazione delle policy.
- Scopri come visualizzare e modificare gli orchestratori delle norme.