Depois que o VM Manager aplica uma atribuição de políticas de SO a uma instância de máquina virtual (VM), um relatório de atribuição de políticas do SO é gerado. O relatório contém o status de conformidade de todas as políticas do SO que são aplicadas a uma VM específica para uma determinada atribuição de política do SO.
Este documento descreve as seguintes tarefas:
- Veja o Relatório de conformidade com políticas do SO de todas as VMs em uma organização ou pasta.
- Veja relatórios de atribuição de políticas do SO para todas as VMs em uma zona especificada. Isso é útil para fornecer uma visão geral do status de conformidade em uma zona específica. Consulte Ver relatórios de atribuição de políticas do SO.
- Revise a atribuição de política de SO de uma VM específica. Isso é útil ao analisar o status de conformidade de uma VM específica. Consulte Analisar um relatório de atribuição de políticas do SO.
Antes de começar
- Revise as cotas de configuração do SO.
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud.
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine selecionando uma das seguintes opções:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Ver resumo de conformidade com políticas do SO para VMs em uma organização ou pasta:
-
Leitor de OSPolicyAssignmentReport (
roles/osconfig.osPolicyAssignmentReportViewer
) na organização ou pasta -
Leitor de OSPolicyAssignment (
roles/osconfig.osPolicyAssignmentViewer
) na organização ou pasta
-
Leitor de OSPolicyAssignmentReport (
-
Ver relatórios de atribuição de políticas de SO para VMs em um projeto:
Leitor de OSPolicyAssignmentReport (
roles/osconfig.osPolicyAssignmentReportViewer
) no projeto -
Ver resumo de conformidade com políticas do SO para VMs em uma organização ou pasta:
-
osconfig.osPolicyAssignmentReports.searchSummaries
-
osconfig.osPolicyAssignments.searchPolicies
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
- Contém uma ou mais VMs em que o VM Manager está ativado e em execução.
- Contém uma ou mais VMs em que o VM Manager estava em execução nos últimos sete dias e dados de conformidade com políticas do SO estão disponíveis.
No console do Google Cloud, acesse a página Compute Engine > VM Manager > Políticas do SO.
Na lista suspensa do projeto, na parte superior do console do Google Cloud, selecione a organização ou pasta que você quer para ver o resumo de conformidade com políticas do SO.
Use as opções a seguir para ver os dados de conformidade com políticas do SO:
- Para ver o resumo de conformidade com políticas do SO por projeto, clique na guia Projetos.
- Para ver o resumo de conformidade com políticas do SO por política, clique na guia Políticas do SO.
Opcional: especifique os critérios para processar o resumo de conformidade com políticas do SO usando o criador de consultas.
Analise o resumo de conformidade com políticas do SO para VMs. A tabela na guia Projetos contém uma linha para cada projeto, conforme mostrado na figura a seguir:
A tabela lista as informações a seguir que atendem aos critérios especificados no criador de consultas:
- Projeto: o nome dos projetos na organização que contêm pelo menos uma VM e o VM Manager ativado.
- Total de VMs: número total de VMs em cada projeto.
- VMs monitoradas: número de VMs do projeto com o agente do VM Manager ativado e que estão sendo verificadas quanto à conformidade com políticas.
- VMs com política: número de VMs com pelo menos uma política atribuída.
- Em conformidade: número de VMs com todas as políticas atribuídas relatadas como
COMPLIANT
. - Sem conformidade: número de VMs com pelo menos uma política atribuída relatada como
NON-COMPLIANT
. - Desconhecido: número de VMs com pelo menos uma política atribuída relatada como
UNKNOWN
e nenhuma política relatada comoNON-COMPLIANT
. O estadoUNKNOWN
é devido a um dos seguintes motivos:- A VM não está em execução.
- O agente do VM Manager não está ativado para a VM.
- Ocorreu um erro durante o processo.
- Nenhum relatório: número de VMs com políticas atribuídas, mas nenhum relatório de conformidade com políticas foi encontrado devido a um dos seguintes motivos:
- O agente do VM Manager não está ativado para a VM.
- A verificação de conformidade está em andamento. O relatório ainda não está pronto.
Opcional: aplique filtros de tabela se quiser ver linhas específicas na tabela de resumo de conformidade com políticas do SO.
Por exemplo, se você quiser ver o resumo de conformidade com políticas do SO para projetos que têm mais de 10 VMs, defina a opção de filtro Total de VMs como
>= 10
.Opcional: clique no número de VMs para acessar mais detalhes sobre as VMs em um estado específico. Por exemplo, clicar no número de VMs de um determinado projeto na coluna Desconhecido abre a guia Instâncias de VM com uma lista de políticas de SO desconhecidas para cada nesse projeto.
Para mais informações, consulte Acessar relatórios de atribuição de políticas do SO.
Selecione um Atributo. O criador de consultas é compatível com os seguintes atributos:
- SO: especifique os nomes curtos dos sistemas operacionais, como
Windows
ouDebian
. - Versão do SO: especifique a versão do sistema operacional. Por exemplo,
21.04
ou10.0.22000
. É possível especificar um único asterisco (*
) no final da string da versão do SO para indicar correspondência parcial, por exemplo,10*
. - VM em execução: especifique se você quiser ver o resumo do patch para VMs que estão no estado
RUNNING
. - Impressão digital da política: especifique a impressão digital exclusiva da política do SO. Quando você define esse atributo, o VM Manager processa o resumo de conformidade apenas para as políticas do SO com a impressão digital especificada.
- Estado de conformidade: especifique um dos estados de conformidade da política:
COMPLIANT
: VMs com todas as políticas atribuídas relatadas comoCOMPLIANT
NON-COMPLIANT
: VMs com pelo menos uma política atribuída relatada comoNON-COMPLIANT
UNKNOWN
: VMs com pelo menos uma política atribuída relatada comoUNKNOWN
- SO: especifique os nomes curtos dos sistemas operacionais, como
Escolha um dos atributos e especifique um valor para ele. Por exemplo, se você quiser ver o resumo do patch para VMs com um sistema operacional específico, selecione SO. Em seguida, você verá uma lista de operadores de comparação para escolher.
- Selecione um Operador, por exemplo,
==
. - No campo Valor, especifique o valor de comparação. Por exemplo,
Debian
.
- Selecione um Operador, por exemplo,
Para incluir outro atributo, clique em Adicionar condição.
Clique em Pesquisar.
Se você usar o VPC Service Controls para proteger seus serviços, adicione o serviço de Inventário de recursos do Cloud à lista de serviços permitidos. Para mais informações, consulte Serviços acessíveis por VPC.
No console do Google Cloud, acesse a página Políticas do SO > Instâncias de VM.
ZONE
: é a zona em que a VM está localizada- Opcional: informe um dos seguintes itens:
VM_NAME
: o nome ou o ID da VM que você quer visualizar os relatórios de atribuição de políticas do SO.ASSIGNMENT_ID
: o ID da atribuição da política do SO que você quer visualizar os relatórios de atribuição de política.
PROJECT_ID
: ID do projetoZONE
: a zona em que as VMs estão localizadas- Opcional. Forneça uma das seguintes informações:
VM_NAME
: o nome ou o ID da VM que você quer ver os relatórios de atribuição de políticas do SO. Se não for obrigatório, use um-
para o valor.ASSIGNMENT_ID
: o ID da atribuição da política do SO que você quer visualizar os relatórios de atribuição de política. Se não for obrigatório, use um-
para o valor.
- Para ver os relatórios de todas as VMs no projeto
my-project-12345
e na zonaus-central1-a
, use o seguinte URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Para ver os relatórios da VM
my-test-vm
no projetomy-project-12345
e localizados na zonaus-central1-a
, use o seguinte URI:projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Para ver os relatórios de todas as VMs no projeto
my-project-12345
e na zonaus-central1-a
que tenham a atribuição de política de SOmy-test-assignment
, use o seguinte URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Se você usar o VPC Service Controls para proteger seus serviços, adicione o serviço de Inventário de recursos do Cloud à lista de serviços permitidos. Para mais informações, consulte Serviços acessíveis por VPC.
No console do Google Cloud, acesse a página Políticas do SO > Instâncias de VM.
Para ver o Relatório de atribuição de políticas do SO de uma VM específica, clique no nome da VM.
Revise os campos Estado, Motivo do estado e Registros. O campo Registros fornece um link para o painel do Cloud Logging em que é possível acessar os registros de depuração do agente de configuração do SO em execução na VM.
- Para mais informações sobre os estados de conformidade retornados, consulte a
seção
ComplianceState
na documentação de referência da API. - Para mais informações sobre os motivos de conformidade retornados, consulte o campo
complianceStateReason
na documentação de referência da APIOSPolicyResourceCompliance
.
Para corrigir esses problemas, também é possível analisar os registros da política do SO e fazer as atualizações necessárias. Para verificar os registros, consulte Solução de problemas do VM Manager.
- Para mais informações sobre os estados de conformidade retornados, consulte a
seção
Para ver o relatório de atribuição de políticas do SO de uma VM específica, use o comando
os-config os-policy-assignment-reports describe
.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONE
Substitua:
OS_POLICY_ASSIGNMENT_ID
: o ID da atribuição da política do SO que você quer analisar referente à VM especificada.VM_NAME
: o nome ou o ID da VM que você quer ver o relatório de atribuição de políticas do SO.ZONE
: é a zona em que a VM está localizada
Exemplo
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-a
Saída
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'
Revise
complianceState
ecomplianceStateReason
.- Para mais informações sobre os estados de conformidade retornados, consulte a
seção
ComplianceState
na documentação de referência da API. - Para mais informações sobre os motivos de conformidade retornados, consulte o campo
complianceStateReason
na documentação de referência da APIOSPolicyResourceCompliance
.
Para corrigir esses problemas, também é possível analisar os registros da política do SO e fazer as atualizações necessárias. Para verificar os registros, consulte Solução de problemas do VM Manager.
- Para mais informações sobre os estados de conformidade retornados, consulte a
seção
Na API, crie uma solicitação
GET
para o métodoprojects.locations.osPolicyAssignments.reports.get
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Substitua:
PROJECT_ID
: ID do projetoZONE
: é a zona em que a VM está localizadaVM_NAME
: o nome ou o ID da VM que você quer ver o relatório de atribuição de políticas do SO.OS_POLICY_ASSIGNMENT_ID
: o ID da atribuição da política do SO que você quer visualizar os relatórios de atribuição de política.
Revise
complianceState
ecomplianceStateReason
.- Para mais informações sobre os estados de conformidade retornados, consulte a
seção
ComplianceState
na documentação de referência da API. - Para mais informações sobre os motivos de conformidade retornados, consulte o campo
complianceStateReason
na documentação de referência da APIOSPolicyResourceCompliance
.
Para corrigir esses problemas, também é possível analisar os registros da política do SO e fazer as atualizações necessárias. Para verificar os registros, consulte Solução de problemas do VM Manager.
- Para mais informações sobre os estados de conformidade retornados, consulte a
seção
- Saiba mais sobre as políticas do SO.
- Gerencie políticas do SO.
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.
Papéis e permissões necessárias
Para ter as permissões necessárias para ver os dados de conformidade com políticas do SO, peça ao administrador para conceder a você os seguintes papéis do IAM:
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para ver os dados de conformidade com políticas do SO. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para ver os dados de conformidade com políticas do SO:
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Ver resumo de conformidade com políticas do SO para todas as VMs em uma organização ou pasta
É possível ver o resumo de conformidade com políticas do SO para todas as VMs em uma organização ou pasta usando o console do Google Cloud.
O VM Manager exibe o resumo de conformidade com políticas do SO apenas para os projetos que atendem a um dos seguintes requisitos:
Para ver os dados de conformidade com políticas do SO, realize estas ações:
Usar o criador de consultas para filtrar dados de conformidade com políticas do SO
Com base nos critérios especificados no criador de consultas, o VM Manager exibe os dados de conformidade com políticas do SO para VMs nos projetos da organização ou pasta. É possível usar os filtros na tabela de conformidade com políticas do SO para filtrar os dados exibidos.
Por exemplo, quando você define o atributo
OS
no criador de consultas comoDebian
, o VM Manager exibe os dados de conformidade com políticas do SO para VMs com o SO Debian. Para acessar os dados de compliance de um projeto específico, use o filtro de tabela para especificar o ID do projeto.Para definir uma consulta no criador de consultas na guia Projetos, realize estas ações:
Ver relatórios de atribuição da política do SO
Para ver os relatórios de atribuição de políticas do SO, use o console do Google Cloud, a CLI do Google Cloud ou a REST.
Use este procedimento para ver uma lista de relatórios de atribuição de políticas do SO de um local especificado.
Console
gcloud
Para ver uma lista de relatórios de atribuição de políticas do SO, use o comando
os-config os-policy-assignment-reports list
.Para ver todos os relatórios de atribuição de políticas de SO de um local específico, execute o comando a seguir. Substitua
ZONE
pela zona em que as VMs estão localizadas.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Exemplo de comando e saída (todas as VMs)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
Também é possível usar sinalizações opcionais, como
--instance
ou--assignment-id
, para filtrar os resultados.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]
Substitua:
Exemplo de comando e saída (VM específica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant
Exemplo de comando e saída (atribuição específica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant
REST
Na API, crie uma solicitação
GET
para o métodoprojects.locations.osPolicyAssignments.reports.list
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Substitua:
Exemplos:
Analisar um relatório de atribuição de políticas do SO
Use este procedimento para ver detalhes de um relatório de atribuição de políticas do SO associado a uma VM específica.
Console
gcloud
REST
A seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2024-12-22 UTC.
-