VM Manager가 OS 정책 할당을 가상 머신(VM) 인스턴스에 적용하면 OS 정책 할당 보고서가 생성됩니다. 보고서에는 특정 OS 정책 할당에 대해 특정 VM에 적용되는 모든 OS 정책의 규정 준수 상태가 포함됩니다.
이 문서에서는 다음 작업을 설명합니다.
- 조직 또는 폴더의 모든 VM에 대한 OS 정책 규정 준수 보고서를 봅니다.
- 지정된 영역의 모든 VM에 대한 OS 정책 할당 보고서를 봅니다. 이는 특정 영역의 규정 준수 상태를 간략히 확인하는 데 유용합니다. OS 정책 할당 보고서 보기를 참고하세요.
- 특정 VM의 OS 정책 할당을 검토합니다. 이는 특정 VM의 규정 준수 상태를 검토할 때 유용합니다. OS 정책 할당 보고서 검토를 참조하세요.
시작하기 전에
- OS 구성 할당량을 검토합니다.
-
아직 인증을 설정하지 않았다면 설정합니다.
인증은 Google Cloud 서비스 및 API에 액세스하기 위해 ID를 확인하는 프로세스입니다.
로컬 개발 환경에서 코드 또는 샘플을 실행하려면 다음 옵션 중 하나를 선택하여 Compute Engine에 인증하면 됩니다.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- 조직 또는 폴더의 VM에 대한 OS 정책 규정 준수 요약 보기:
-
조직 또는 폴더에 대한 OSPolicyAssignmentReport 뷰어(
roles/osconfig.osPolicyAssignmentReportViewer
) -
조직 또는 폴더에 대한 OSPolicyAssignment 뷰어(
roles/osconfig.osPolicyAssignmentViewer
)
-
조직 또는 폴더에 대한 OSPolicyAssignmentReport 뷰어(
- 프로젝트의 VM에 대한 OS 정책 할당 보고서 보기:
프로젝트에 대한 OSPolicyAssignmentReport 뷰어(
roles/osconfig.osPolicyAssignmentReportViewer
) - 조직 또는 폴더의 VM에 대한 OS 정책 규정 준수 요약 보기:
-
osconfig.osPolicyAssignmentReports.searchSummaries
-
osconfig.osPolicyAssignments.searchPolicies
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
- VM Manager가 사용 설정되었고 실행 중인 VM이 하나 이상 포함됩니다.
- 지난 7일 동안 VM Manager가 실행 중이었던 하나 이상의 VM이 포함되어 있으며 OS 정책 규정 준수 데이터를 사용할 수 있습니다.
Google Cloud 콘솔에서 Compute Engine > VM Manager > OS 정책 페이지로 이동합니다.
Google Cloud 콘솔 상단의 프로젝트 드롭다운 목록에서 OS 정책 규정 준수 요약을 보려는 조직 또는 폴더를 선택합니다.
OS 정책 규정 준수 데이터를 보려면 다음 옵션을 사용하세요.
- 프로젝트별 OS 정책 규정 준수 요약을 보려면 프로젝트 탭을 클릭합니다.
- 정책별 OS 정책 규정 준수 요약을 보려면 OS 정책 탭을 클릭합니다.
선택사항: 쿼리 빌더를 사용하여 OS 정책 규정 준수 요약을 산출하기 위한 기준을 지정합니다.
VM의 OS 정책 규정 준수 요약을 검토합니다. 프로젝트 탭의 테이블에는 다음 그림과 같이 각 프로젝트의 행이 포함됩니다.
이 테이블에는 쿼리 빌더에서 지정한 기준을 충족하는 다음 정보가 나열됩니다.
- 프로젝트: 하나 이상의 VM을 포함하고 VM Manager가 사용 설정된 조직의 프로젝트 이름입니다.
- 총 VM 수: 각 프로젝트의 총 VM 수입니다.
- 모니터링되는 VM: VM Manager 에이전트가 사용 설정되어 있고 정책 준수 여부를 스캔 중인 프로젝트의 VM 수입니다.
- 정책이 있는 VM: 하나 이상의 정책이 할당된 VM 수입니다.
- 규정 준수: 모든 할당된 정책이
COMPLIANT
로 보고된 VM 수입니다. - 미준수:
NON-COMPLIANT
로 보고된 정책이 하나 이상 할당된 VM 수입니다. - 알 수 없음: 하나 이상의 할당된 정책이
UNKNOWN
으로 보고되었고NON-COMPLIANT
로 보고된 정책이 없는 VM 수입니다.UNKNOWN
상태는 다음 중 하나의 이유로 인해 발생합니다.- VM이 실행 중이 아닙니다.
- VM에 VM Manager 에이전트가 사용 설정되지 않았습니다.
- 프로세스 중에 오류가 발생했습니다.
- 보고서 없음: 할당된 정책이 있지만 다음 이유 중 하나로 인해 정책 규정 준수 보고서를 찾을 수 없는 VM 수입니다.
- VM에 VM Manager 에이전트가 사용 설정되지 않았습니다.
- 규정 준수 스캔이 진행 중이므로 보고서가 아직 준비되지 않았습니다.
선택사항: OS 정책 규정 준수 요약 표에서 특정 행을 보려면 테이블 필터를 적용합니다.
예를 들어 VM이 10개를 초과하는 프로젝트에 대한 OS 정책 규정 준수 요약을 보려면 총 VM 필터 옵션을
>= 10
으로 설정합니다.선택사항: VM 수를 클릭하여 특정 상태의 VM에 관한 자세한 내용을 확인합니다. 예를 들어 알 수 없음 열에서 해당 프로젝트의 VM 수를 클릭하면 프로젝트의 각 VM에 대한 알 수 없는 OS 정책 목록이 포함된 VM 인스턴스 탭이 열립니다.
자세한 내용은 OS 정책 할당 보고서 보기를 참고하세요.
속성을 선택하세요. 쿼리 빌더는 다음 속성을 지원합니다.
- OS:
Windows
또는Debian
와 같은 운영체제의 약어를 지정합니다. - OS 버전: 운영체제 버전을 지정합니다. 예를 들면
21.04
또는10.0.22000
입니다. OS 버전 문자열 끝에 단일 별표(*
)를 지정하여 부분 일치를 나타낼 수 있습니다(예:10*
). - 실행 중인 VM:
RUNNING
상태의 VM에 대한 패치 요약을 볼지 여부를 지정합니다. - 정책 디지털 지문: OS 정책의 고유한 정책 디지털 지문을 지정합니다. 이 속성을 설정하면 VM Manager가 지정된 디지털 지문이 있는 OS 정책의 규정 준수 요약만 산출합니다.
- 규정 준수 상태: 정책의 규정 준수 상태 중 하나를 지정합니다.
COMPLIANT
: 모든 할당된 정책이COMPLIANT
로 보고된 VM입니다.NON-COMPLIANT
:NON-COMPLIANT
로 보고된 정책이 하나 이상 할당된 VM입니다.UNKNOWN
:UNKNOWN
으로 보고된 정책이 하나 이상 할당된 VM입니다.
- OS:
속성 중 하나를 선택하고 속성 값을 지정합니다. 예를 들어 특정 운영체제가 있는 VM에 대한 패치 요약을 보려면 OS를 선택합니다. 그러면 선택할 비교 연산자 목록을 가져올 수 있습니다.
- 연산자(예:
==
)를 선택합니다. - 값 필드에 비교 값을 지정합니다. 예를 들면
Debian
입니다.
- 연산자(예:
다른 속성을 추가하려면 조건 추가를 클릭합니다.
검색을 클릭합니다.
VPC 서비스 제어를 사용하여 서비스를 보호하는 경우 허용된 서비스 목록에 Cloud 애셋 인벤토리 서비스를 추가합니다. 자세한 내용은 VPC 액세스 가능 서비스를 참조하세요.
Google Cloud 콘솔에서 OS 정책 > VM 인스턴스 페이지로 이동합니다.
ZONE
: VM이 있는 영역입니다.- 선택사항: 다음 중 하나를 제공합니다.
VM_NAME
: OS 정책 할당 보고서를 보려는 VM의 이름 또는 IDASSIGNMENT_ID
: OS 정책 할당 보고서를 보려는 OS 정책 할당의 ID
PROJECT_ID
: 프로젝트 ID입니다.ZONE
: VM이 있는 영역- 선택사항. 다음 중 하나를 제공합니다.
VM_NAME
: OS 정책 할당 보고서를 보려는 VM의 이름 또는 ID. 필요하지 않은 경우-
를 값으로 사용합니다.ASSIGNMENT_ID
: OS 정책 할당 보고서를 보려는 OS 정책 할당의 ID. 필요하지 않은 경우-
를 값으로 사용합니다.
my-project-12345
프로젝트 및us-central1-a
영역의 모든 VM에 대한 보고서를 보려면 다음 URI를 사용합니다.projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
my-project-12345
프로젝트와us-central1-a
영역에 있는 VMmy-test-vm
의 보고서를 보려면 다음 URI를 사용합니다.projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
my-test-assignment
OS 정책 할당이 있는my-project-12345
프로젝트 및us-central1-a
영역의 모든 VM에 대한 보고서를 보려면 다음 URI를 사용합니다.projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
VPC 서비스 제어를 사용하여 서비스를 보호하는 경우 허용된 서비스 목록에 Cloud 애셋 인벤토리 서비스를 추가합니다. 자세한 내용은 VPC 액세스 가능 서비스를 참조하세요.
Google Cloud 콘솔에서 OS 정책 > VM 인스턴스 페이지로 이동합니다.
특정 VM의 OS 정책 할당 보고서를 보려면 VM의 이름을 클릭합니다.
상태, 상태 이유, 로그 필드를 검토합니다. 로그 필드는 VM에서 실행 중인 OS 구성 에이전트의 디버그 로그에 액세스할 수 있는 Cloud Logging 대시보드 링크를 제공합니다.
- 반환된 규정 준수 상태에 대한 자세한 내용은 API 참조 문서의
ComplianceState
섹션을 검토하세요. - 반환된 규정 준수 이유에 대한 자세한 내용은
OSPolicyResourceCompliance
API 참조 문서의complianceStateReason
필드를 검토하세요.
이러한 문제를 해결하기 위해 OS 정책 로그를 검토하고 필요한 업데이트를 수행할 수도 있습니다. 로그를 확인하려면 VM Manager 문제 해결을 참조하세요.
- 반환된 규정 준수 상태에 대한 자세한 내용은 API 참조 문서의
특정 VM의 OS 정책 할당 보고서를 보려면
os-config os-policy-assignment-reports describe
명령어를 사용합니다.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONE
다음을 바꿉니다.
OS_POLICY_ASSIGNMENT_ID
: 지정된 VM에 대해 검토할 OS 정책 할당의 IDVM_NAME
: OS 정책 할당 보고서를 보려는 VM의 이름 또는 IDZONE
: VM이 있는 영역입니다.
예시
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-a
출력
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'
complianceState
및complianceStateReason
을 검토합니다.- 반환된 규정 준수 상태에 대한 자세한 내용은 API 참조 문서의
ComplianceState
섹션을 검토하세요. - 반환된 규정 준수 이유에 대한 자세한 내용은
OSPolicyResourceCompliance
API 참조 문서의complianceStateReason
필드를 검토하세요.
이러한 문제를 해결하기 위해 OS 정책 로그를 검토하고 필요한 업데이트를 수행할 수도 있습니다. 로그를 확인하려면 VM Manager 문제 해결을 참조하세요.
- 반환된 규정 준수 상태에 대한 자세한 내용은 API 참조 문서의
API에서
projects.locations.osPolicyAssignments.reports.get
메서드에 대한GET
요청을 만듭니다.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
다음을 바꿉니다.
PROJECT_ID
: 프로젝트 ID입니다.ZONE
: VM이 있는 영역입니다.VM_NAME
: OS 정책 할당 보고서를 보려는 VM의 이름 또는 IDOS_POLICY_ASSIGNMENT_ID
: OS 정책 할당 보고서를 보려는 OS 정책 할당의 ID
complianceState
및complianceStateReason
을 검토합니다.- 반환된 규정 준수 상태에 대한 자세한 내용은 API 참조 문서의
ComplianceState
섹션을 검토하세요. - 반환된 규정 준수 이유에 대한 자세한 내용은
OSPolicyResourceCompliance
API 참조 문서의complianceStateReason
필드를 검토하세요.
이러한 문제를 해결하기 위해 OS 정책 로그를 검토하고 필요한 업데이트를 수행할 수도 있습니다. 로그를 확인하려면 VM Manager 문제 해결을 참조하세요.
- 반환된 규정 준수 상태에 대한 자세한 내용은 API 참조 문서의
- OS 정책 자세히 알아보기
- OS 정책 관리하기
REST
로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
자세한 내용은 Google Cloud 인증 문서의 REST 사용을 위한 인증을 참고하세요.
필수 역할 및 권한
OS 정책 규정 준수 데이터를 보는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 OS 정책 규정 준수 데이터를 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
OS 정책 규정 준수 데이터를 보려면 다음 권한이 필요합니다.
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
조직 또는 폴더의 모든 VM에 대한 OS 정책 규정 준수 요약 보기
Google Cloud 콘솔을 사용하여 조직 또는 폴더의 모든 VM에 대한 OS 정책 규정 준수 요약을 볼 수 있습니다.
VM Manager는 다음 요구사항 중 하나를 충족하는 프로젝트에 대해서만 OS 정책 규정 준수 요약을 표시합니다.
OS 정책 규정 준수 데이터를 보려면 다음 단계를 따르세요.
쿼리 빌더를 사용한 OS 정책 규정 준수 데이터 필터링
쿼리 빌더에서 지정한 기준에 따라 VM Manager는 조직 또는 폴더의 프로젝트에 있는 VM에 대한 OS 정책 규정 준수 데이터를 표시합니다. 그러면 OS 정책 규정 준수 테이블의 테이블 필터를 사용하여 표시된 데이터를 필터링할 수 있습니다.
예를 들어 쿼리 빌더에서
OS
속성을Debian
으로 설정하면 VM Manager에 Debian OS가 있는 VM의 OS 정책 규정 준수 데이터가 표시됩니다. 특정 프로젝트의 규정 준수 데이터를 보려면 표 필터를 사용하여 프로젝트 ID를 지정하세요.프로젝트 탭의 쿼리 빌더에서 쿼리를 설정하려면 다음 안내를 따르세요.
OS 정책 할당 보고서 보기
OS 정책 할당 보고서를 보려면 Google Cloud 콘솔, Google Cloud CLI 또는 REST를 사용하면 됩니다.
이 절차에 따라 특정 위치에 대한 OS 정책 할당 보고서 목록을 확인합니다.
콘솔
gcloud
OS 정책 할당 보고서 목록을 보려면
os-config os-policy-assignment-reports list
명령어를 사용합니다.특정 위치의 모든 OS 정책 할당 보고서를 보려면 다음 명령어를 실행합니다.
ZONE
을 VM이 있는 영역으로 바꿉니다.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
명령어 및 출력 예시(모든 VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
--instance
또는--assignment-id
와 같은 선택적 플래그를 사용하여 결과를 필터링할 수도 있습니다.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]
다음을 바꿉니다.
명령어 및 출력 예시(특정 VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant
명령어 및 출력 예시(특정 할당)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant
REST
API에서
projects.locations.osPolicyAssignments.reports.list
메서드에 대한GET
요청을 만듭니다.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
다음을 바꿉니다.
예:
OS 정책 할당 보고서 검토
이 절차에 따라 특정 VM과 연결된 OS 정책 할당 보고서를 자세히 살펴봅니다.
콘솔
gcloud
REST
다음 단계
달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.
최종 업데이트: 2024-12-22(UTC)
-