Conferir relatórios de políticas do SO

Depois que o VM Manager aplica uma atribuição de políticas de SO a uma instância de máquina virtual (VM), um relatório de atribuição de políticas do SO é gerado. O relatório contém o status de conformidade de todas as políticas do SO que são aplicadas a uma VM específica para uma determinada atribuição de política do SO.

Este documento descreve as seguintes tarefas:

Antes de começar

  • Revise as cotas de configuração do SO.
  • Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud. Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Papéis e permissões necessárias

Para ter as permissões necessárias para ver os dados de conformidade com políticas do SO, peça ao administrador para conceder a você os seguintes papéis do IAM:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para ver os dados de conformidade com políticas do SO. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para ver os dados de conformidade com políticas do SO:

  • Ver resumo de conformidade com políticas do SO para VMs em uma organização ou pasta:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ver resumo de conformidade com políticas do SO para todas as VMs em uma organização ou pasta

É possível ver o resumo de conformidade com políticas do SO para todas as VMs em uma organização ou pasta usando o console do Google Cloud.

O VM Manager exibe o resumo de conformidade com políticas do SO apenas para os projetos que atendem a um dos seguintes requisitos:

  • Contém uma ou mais VMs em que o VM Manager está ativado e em execução.
  • Contém uma ou mais VMs em que o VM Manager estava em execução nos últimos sete dias e dados de conformidade com políticas do SO estão disponíveis.

Para ver os dados de conformidade com políticas do SO, realize estas ações:

  1. No console do Google Cloud, acesse a página Compute Engine > VM Manager > Políticas do SO.

    Acessar as políticas do SO

  2. Na lista suspensa do projeto, na parte superior do console do Google Cloud, selecione a organização ou pasta que você quer para ver o resumo de conformidade com políticas do SO.

  3. Use as opções a seguir para ver os dados de conformidade com políticas do SO:

    1. Para ver o resumo de conformidade com políticas do SO por projeto, clique na guia Projetos.
    2. Para ver o resumo de conformidade com políticas do SO por política, clique na guia Políticas do SO.
  4. Opcional: especifique os critérios para processar o resumo de conformidade com políticas do SO usando o criador de consultas.

  5. Analise o resumo de conformidade com políticas do SO para VMs. A tabela na guia Projetos contém uma linha para cada projeto, conforme mostrado na figura a seguir:

    Resumo das políticas do SO para todos os projetos.

    A tabela lista as informações a seguir que atendem aos critérios especificados no criador de consultas:

    • Projeto: o nome dos projetos na organização que contêm pelo menos uma VM e o VM Manager ativado.
    • Total de VMs: número total de VMs em cada projeto.
    • VMs monitoradas: número de VMs do projeto com o agente do VM Manager ativado e que estão sendo verificadas quanto à conformidade com políticas.
    • VMs com política: número de VMs com pelo menos uma política atribuída.
    • Em conformidade: número de VMs com todas as políticas atribuídas relatadas como COMPLIANT.
    • Sem conformidade: número de VMs com pelo menos uma política atribuída relatada como NON-COMPLIANT.
    • Desconhecido: número de VMs com pelo menos uma política atribuída relatada como UNKNOWN e nenhuma política relatada como NON-COMPLIANT. O estado UNKNOWN é devido a um dos seguintes motivos:
      • A VM não está em execução.
      • O agente do VM Manager não está ativado para a VM.
      • Ocorreu um erro durante o processo.
    • Nenhum relatório: número de VMs com políticas atribuídas, mas nenhum relatório de conformidade com políticas foi encontrado devido a um dos seguintes motivos:
      • O agente do VM Manager não está ativado para a VM.
      • A verificação de conformidade está em andamento. O relatório ainda não está pronto.
  6. Opcional: aplique filtros de tabela se quiser ver linhas específicas na tabela de resumo de conformidade com políticas do SO.

    Filtro na tabela de resumo de políticas.

    Por exemplo, se você quiser ver o resumo de conformidade com políticas do SO para projetos que têm mais de 10 VMs, defina a opção de filtro Total de VMs como >= 10.

  7. Opcional: clique no número de VMs para acessar mais detalhes sobre as VMs em um estado específico. Por exemplo, clicar no número de VMs de um determinado projeto na coluna Desconhecido abre a guia Instâncias de VM com uma lista de políticas de SO desconhecidas para cada nesse projeto.

    Guia "Instâncias de VM" com políticas de SO desconhecidas.

    Para mais informações, consulte Acessar relatórios de atribuição de políticas do SO.

Usar o criador de consultas para filtrar dados de conformidade com políticas do SO

Com base nos critérios especificados no criador de consultas, o VM Manager exibe os dados de conformidade com políticas do SO para VMs nos projetos da organização ou pasta. É possível usar os filtros na tabela de conformidade com políticas do SO para filtrar os dados exibidos.

Por exemplo, quando você define o atributo OS no criador de consultas como Debian, o VM Manager exibe os dados de conformidade com políticas do SO para VMs com o SO Debian. Para acessar os dados de compliance de um projeto específico, use o filtro de tabela para especificar o ID do projeto.

Criador de consultas com um só atributo.

Para definir uma consulta no criador de consultas na guia Projetos, realize estas ações:

  1. Selecione um Atributo. O criador de consultas é compatível com os seguintes atributos:

    • SO: especifique os nomes curtos dos sistemas operacionais, como Windows ou Debian.
    • Versão do SO: especifique a versão do sistema operacional. Por exemplo, 21.04 ou 10.0.22000. É possível especificar um único asterisco (*) no final da string da versão do SO para indicar correspondência parcial, por exemplo, 10*.
    • VM em execução: especifique se você quiser ver o resumo do patch para VMs que estão no estado RUNNING.
    • Impressão digital da política: especifique a impressão digital exclusiva da política do SO. Quando você define esse atributo, o VM Manager processa o resumo de conformidade apenas para as políticas do SO com a impressão digital especificada.
    • Estado de conformidade: especifique um dos estados de conformidade da política:
      • COMPLIANT: VMs com todas as políticas atribuídas relatadas como COMPLIANT
      • NON-COMPLIANT: VMs com pelo menos uma política atribuída relatada como NON-COMPLIANT
      • UNKNOWN: VMs com pelo menos uma política atribuída relatada como UNKNOWN
  2. Escolha um dos atributos e especifique um valor para ele. Por exemplo, se você quiser ver o resumo do patch para VMs com um sistema operacional específico, selecione SO. Em seguida, você verá uma lista de operadores de comparação para escolher.

    1. Selecione um Operador, por exemplo, ==.
    2. No campo Valor, especifique o valor de comparação. Por exemplo, Debian.
  3. Para incluir outro atributo, clique em Adicionar condição.

  4. Clique em Pesquisar.

Ver relatórios de atribuição da política do SO

Para ver os relatórios de atribuição de políticas do SO, use o console do Google Cloud, a CLI do Google Cloud ou a REST.

Use este procedimento para ver uma lista de relatórios de atribuição de políticas do SO de um local especificado.

Console

  1. Se você usar o VPC Service Controls para proteger seus serviços, adicione o serviço de Inventário de recursos do Cloud à lista de serviços permitidos. Para mais informações, consulte Serviços acessíveis por VPC.

  2. No console do Google Cloud, acesse a página Políticas do SO > Instâncias de VM.

    Acessar instâncias de VM

    Veja a conformidade da VM.

gcloud

Para ver uma lista de relatórios de atribuição de políticas do SO, use o comando os-config os-policy-assignment-reports list.

Para ver todos os relatórios de atribuição de políticas de SO de um local específico, execute o comando a seguir. Substitua ZONE pela zona em que as VMs estão localizadas.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Exemplo de comando e saída (todas as VMs)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Também é possível usar sinalizações opcionais, como --instance ou --assignment-id, para filtrar os resultados.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Substitua:

  • ZONE: é a zona em que a VM está localizada
  • Opcional: informe um dos seguintes itens:
    • VM_NAME: o nome ou o ID da VM que você quer visualizar os relatórios de atribuição de políticas do SO.
    • ASSIGNMENT_ID: o ID da atribuição da política do SO que você quer visualizar os relatórios de atribuição de política.

Exemplo de comando e saída (VM específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Exemplo de comando e saída (atribuição específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Na API, crie uma solicitação GET para o método projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Substitua:

  • PROJECT_ID: ID do projeto
  • ZONE: a zona em que as VMs estão localizadas
  • Opcional. Forneça uma das seguintes informações:
    • VM_NAME: o nome ou o ID da VM que você quer ver os relatórios de atribuição de políticas do SO. Se não for obrigatório, use um - para o valor.
    • ASSIGNMENT_ID: o ID da atribuição da política do SO que você quer visualizar os relatórios de atribuição de política. Se não for obrigatório, use um - para o valor.

Exemplos:

  • Para ver os relatórios de todas as VMs no projeto my-project-12345 e na zona us-central1-a, use o seguinte URI:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Para ver os relatórios da VM my-test-vm no projeto my-project-12345 e localizados na zona us-central1-a, use o seguinte URI:
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Para ver os relatórios de todas as VMs no projeto my-project-12345 e na zona us-central1-a que tenham a atribuição de política de SO my-test-assignment, use o seguinte URI:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Analisar um relatório de atribuição de políticas do SO

Use este procedimento para ver detalhes de um relatório de atribuição de políticas do SO associado a uma VM específica.

Console

  1. Se você usar o VPC Service Controls para proteger seus serviços, adicione o serviço de Inventário de recursos do Cloud à lista de serviços permitidos. Para mais informações, consulte Serviços acessíveis por VPC.

  2. No console do Google Cloud, acesse a página Políticas do SO > Instâncias de VM.

    Acessar o Console do Google Cloud

  3. Para ver o Relatório de atribuição de políticas do SO de uma VM específica, clique no nome da VM.

    Veja a conformidade da VM.

  4. Revise os campos Estado, Motivo do estado e Registros. O campo Registros fornece um link para o painel do Cloud Logging em que é possível acessar os registros de depuração do agente de configuração do SO em execução na VM.

    Para corrigir esses problemas, também é possível analisar os registros da política do SO e fazer as atualizações necessárias. Para verificar os registros, consulte Solução de problemas do VM Manager.

gcloud

  1. Para ver o relatório de atribuição de políticas do SO de uma VM específica, use o comando os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
        --instance=VM_NAME \
        --location=ZONE
    

    Substitua:

    • OS_POLICY_ASSIGNMENT_ID: o ID da atribuição da política do SO que você quer analisar referente à VM especificada.
    • VM_NAME: o nome ou o ID da VM que você quer ver o relatório de atribuição de políticas do SO.
    • ZONE: é a zona em que a VM está localizada

    Exemplo

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
        --instance=centos7 \
        --location=us-central1-a
    

    Saída

    instance: centos7
    lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
    name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
    osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
    osPolicyCompliances:
    – complianceState: UNKNOWN
      complianceStateReason: os-policies-not-supported-by-agent
      osPolicyId: setup-repo-and-install-package-policy
      osPolicyResourceCompliances:
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: setup-repo
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: install-pkg
    updateTime: '2021-11-02T19:14:34.314831Z'
    
  2. Revise complianceState e complianceStateReason.

    Para corrigir esses problemas, também é possível analisar os registros da política do SO e fazer as atualizações necessárias. Para verificar os registros, consulte Solução de problemas do VM Manager.

REST

  1. Na API, crie uma solicitação GET para o método projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
    

    Substitua:

    • PROJECT_ID: ID do projeto
    • ZONE: é a zona em que a VM está localizada
    • VM_NAME: o nome ou o ID da VM que você quer ver o relatório de atribuição de políticas do SO.
    • OS_POLICY_ASSIGNMENT_ID: o ID da atribuição da política do SO que você quer visualizar os relatórios de atribuição de política.
  2. Revise complianceState e complianceStateReason.

    Para corrigir esses problemas, também é possível analisar os registros da política do SO e fazer as atualizações necessárias. Para verificar os registros, consulte Solução de problemas do VM Manager.

A seguir