Veja relatórios de políticas de SO

Depois de o VM Manager aplicar uma atribuição de política de SO a uma instância de máquina virtual (VM), é gerado um relatório de atribuição de política de SO. O relatório contém o estado de conformidade de todas as políticas de SO aplicadas a uma VM específica para uma determinada atribuição de política de SO.

Este documento descreve as seguintes tarefas:

Antes de começar

  • Reveja as quotas de configuração do SO.
  • Se ainda não o tiver feito, configure a autenticação. A autenticação valida a sua identidade para aceder a Google Cloud serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando: 

      gcloud init

      Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.

    2. Set a default region and zone.

    REST

    Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.

      Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando: 

      gcloud init

      Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.

    Para mais informações, consulte o artigo Autenticar para usar REST na Google Cloud documentação de autenticação.

Funções e autorizações necessárias

Para receber as autorizações de que precisa para ver os dados de conformidade com a política de SO, peça ao seu administrador que lhe conceda as seguintes funções de IAM:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para ver os dados de conformidade com a política do SO. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para ver os dados de conformidade com a política de SO:

  • Veja o resumo da conformidade com a política do SO para VMs numa organização ou pasta:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Veja o resumo da conformidade com a política do SO para todas as VMs numa organização ou pasta

Pode ver o resumo da conformidade com a política de SO de todas as VMs numa organização ou numa pasta através da Google Cloud consola.

O VM Manager apresenta o resumo da conformidade com a política do SO apenas para os projetos que cumprem um dos seguintes requisitos:

  • Contém uma ou mais VMs nas quais o Gestor de VMs está ativado e em execução.
  • Contém uma ou mais VMs nas quais o VM Manager foi executado nos últimos 7 dias e os dados de conformidade com a política de SO estão disponíveis.

Para ver os dados de conformidade com a política de SO, faça o seguinte:

  1. Na Google Cloud consola, aceda a Compute Engine > Gestor de VMs > página Políticas de SO.

    Aceda às políticas de SO

  2. Na lista pendente de projetos na parte superior da Google Cloud consola, selecione a organização ou a pasta para a qual quer ver o resumo da conformidade com a política de SO.

  3. Use as seguintes opções para ver os dados de conformidade com a política de SO:

    1. Para ver o resumo da conformidade com a política de SO por projeto, clique no separador Projetos.
    2. Para ver o resumo da conformidade com as políticas de SO por política, clique no separador Políticas de SO.

  4. Opcional: especifique os critérios para calcular o resumo da conformidade com a política de SO através do criador de consultas.

  5. Reveja o resumo da conformidade com a política de SO para VMs. A tabela no separador Projetos inclui uma linha para cada projeto, conforme mostrado na figura seguinte:

    Resumo das políticas de SO para todos os projetos.

    A tabela apresenta as seguintes informações que cumprem os critérios especificados no criador de consultas:

    • Projeto: o nome dos projetos na organização que contêm, pelo menos, uma VM e têm o VM Manager ativado.
    • Total de VMs: número total de VMs em cada projeto.
    • VMs monitorizadas: número de VMs no projeto que têm o agente do VM Manager ativado e estão a ser analisadas quanto à conformidade com as políticas.
    • VMs com política: número de VMs com, pelo menos, uma política atribuída.
    • Em conformidade: número de VMs com todas as respetivas políticas atribuídas comunicadas como COMPLIANT.
    • Não em conformidade: número de VMs com, pelo menos, uma política atribuída comunicada como NON-COMPLIANT.
    • Desconhecido: número de VMs com, pelo menos, uma política atribuída comunicada como UNKNOWN e nenhuma política comunicada como NON-COMPLIANT. O estado UNKNOWN deve-se a um dos seguintes motivos:
      • A VM não está em execução.
      • O agente do Gestor de VMs não está ativado para a VM.
      • Ocorreu um erro durante o processo.
    • Nenhum relatório: número de VMs com políticas atribuídas, mas não foi encontrado nenhum relatório de conformidade com as políticas devido a um dos seguintes motivos:
      • O agente do Gestor de VMs não está ativado para a VM.
      • A análise de conformidade está em curso. O relatório ainda não está pronto.

  6. Opcional: aplique filtros de tabela se quiser ver linhas específicas na tabela de resumo da conformidade com a política de SO.

    Filtro de tabela na tabela de resumo de políticas.

    Por exemplo, se quiser ver o resumo da conformidade com a política de SO para projetos com mais de 10 VMs, defina a opção de filtro Total de VMs como >= 10.

  7. Opcional: clique no número de VMs para ver mais detalhes sobre as VMs num estado específico. Por exemplo, se clicar no número de VMs de um determinado projeto na coluna Desconhecido, abre o separador Instâncias de VM com uma lista de políticas de SO desconhecidas para cada VM nesse projeto.

    Separador de instâncias de VM com políticas de SO desconhecidas.

    Para mais informações, consulte o artigo Veja relatórios de atribuição de políticas do SO.

Use o criador de consultas para filtrar dados de conformidade com a política do SO

Com base nos critérios especificados no criador de consultas, o VM Manager apresenta os dados de conformidade com a política de SO para VMs nos projetos na sua organização ou pasta. Em seguida, pode usar os filtros de tabela na tabela de conformidade com a política de SO para filtrar os dados apresentados.

Por exemplo, quando define o atributo OS no criador de consultas como Debian, o VM Manager apresenta dados de conformidade com a política do SO para VMs com o SO Debian. Se quiser ver os dados de conformidade de um projeto específico, use o filtro de tabela para especificar o ID do projeto.

Construtor de consultas com um atributo.

Para definir uma consulta no criador de consultas no separador Projetos, faça o seguinte:

  1. Selecione um atributo. O criador de consultas suporta os seguintes atributos:

    • SO: especifique os diminutivos dos sistemas operativos, como Windows ou Debian.
    • Versão do SO: especifique a versão do sistema operativo. Por exemplo, 21.04 ou 10.0.22000. Pode especificar um único asterisco (*) no final da string de versão do SO para indicar uma correspondência parcial, por exemplo, 10*.
    • VM em execução: especifique se quer ver o resumo das correções para VMs que estão no estado RUNNING.
    • Impressão digital da política: especifique a impressão digital da política exclusiva para a política de SO. Quando define este atributo, o VM Manager calcula o resumo da conformidade apenas para as políticas de SO com a impressão digital especificada.
    • Estado de conformidade: especifique um dos estados de conformidade para a política:
      • COMPLIANT: VMs com todas as políticas atribuídas comunicadas como COMPLIANT
      • NON-COMPLIANT: VMs com, pelo menos, uma política atribuída comunicadas como NON-COMPLIANT
      • UNKNOWN: VMs com, pelo menos, uma política atribuída comunicadas como UNKNOWN

  2. Escolha um dos atributos e especifique um valor para o atributo. Por exemplo, se quiser ver o resumo das correções para VMs com um sistema operativo específico, selecione SO. Em seguida, é apresentada uma lista de operadores de comparação que pode escolher.

    1. Selecione um Operador, por exemplo, ==.
    2. No campo Valor, especifique o valor de comparação. Por exemplo, Debian.

  3. Para adicionar outro atributo, clique em Adicionar condição.

  4. Clique em Pesquisar.

Veja relatórios de atribuição de políticas de SO

Para ver os relatórios de atribuição de políticas do SO, pode usar a Google Cloud consola, a Google Cloud CLI ou a REST.

Use este procedimento para ver uma lista de relatórios de atribuição de políticas do SO para uma localização especificada.

Consola

  1. Se usar os VPC Service Controls para proteger os seus serviços, adicione o serviço Cloud Asset Inventory à sua lista de serviços permitidos. Para mais informações, consulte o artigo Serviços acessíveis por VPC.

  2. Na Google Cloud consola, aceda à página Políticas de SO > Instâncias de VM.

    Aceder às instâncias de VM

gcloud

Para ver uma lista de relatórios de atribuição de políticas do SO, use o comando os-config os-policy-assignment-reports list.

Para ver todos os relatórios de atribuição de políticas de SO para uma localização específica, execute o seguinte comando. Substitua ZONE pela zona onde as VMs estão localizadas.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Exemplo de comando e saída (todas as VMs)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

Também pode usar flags opcionais, como --instance ou --assignment-id, para filtrar os resultados.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Substitua o seguinte:

  • ZONE: a zona onde a VM está localizada
  • Opcional: forneça um dos seguintes elementos:
    • VM_NAME: o nome ou o ID da VM para a qual quer ver relatórios de atribuição de políticas do SO
    • ASSIGNMENT_ID: o ID da atribuição de políticas do SO para a qual quer ver relatórios de atribuição de políticas do SO

Exemplo de comando e saída (VM específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Exemplo de comando e resultado (atribuição específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

Na API, crie um pedido GET para o método projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto
  • ZONE: a zona onde as VMs estão localizadas
  • Opcional. Forneça um dos seguintes elementos:
    • VM_NAME: o nome ou o ID da VM para a qual quer ver relatórios de atribuição de políticas do SO. Se não for necessário, use um - para o valor.
    • ASSIGNMENT_ID: o ID da atribuição de política do SO para a qual quer ver relatórios de atribuição de política do SO. Se não for obrigatório, use um - para o valor.

Exemplos:

  • Para ver relatórios de todas as VMs no projeto my-project-12345 e na zona us-central1-a, use o seguinte URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Para ver relatórios da VM my-test-vm no projeto my-project-12345 e localizada na zona us-central1-a, use o seguinte URI: 
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Para ver relatórios de todas as VMs no projeto my-project-12345 e na zona us-central1-a que têm a atribuição da política de SO my-test-assignment, use o seguinte URI: 
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Reveja um relatório de atribuição de políticas de SO

Use este procedimento para obter uma vista detalhada de um relatório de atribuição de políticas do SO associado a uma VM específica.

Consola

  1. Se usar os VPC Service Controls para proteger os seus serviços, adicione o serviço Cloud Asset Inventory à sua lista de serviços permitidos. Para mais informações, consulte o artigo Serviços acessíveis por VPC.

  2. Na Google Cloud consola, aceda à página Políticas de SO > Instâncias de VM.

    Aceda à Google Cloud consola

  3. Para ver o relatório de atribuição de políticas de SO de uma VM específica, clique no nome da VM.

    Ver conformidade da VM.

  4. Reveja os campos Estado, Motivo do estado e Registos. O campo Registos fornece um link para o painel de controlo do Cloud Logging, onde pode aceder aos registos de depuração do agente de configuração do SO em execução na VM.

    Para corrigir estes problemas, também pode rever os registos da política de SO e fazer as atualizações necessárias. Para verificar os registos, consulte o artigo Resolva problemas do Gestor de VMs.

gcloud

  1. Para ver o relatório de atribuição de políticas do SO para uma VM específica, use o comando os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

    Substitua o seguinte:

    • OS_POLICY_ASSIGNMENT_ID: o ID da atribuição da política do SO que quer rever para a VM especificada
    • VM_NAME: o nome ou o ID da VM para a qual quer ver o relatório de atribuição de políticas do SO
    • ZONE: a zona onde a VM está localizada

    Exemplo

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

    Saída

    instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

  2. Reveja os complianceState e as complianceStateReason.

    Para corrigir estes problemas, também pode rever os registos da política de SO e fazer as atualizações necessárias. Para verificar os registos, consulte o artigo Resolva problemas do Gestor de VMs.

REST

  1. Na API, crie um pedido GET para o método projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

    Substitua o seguinte:

    • PROJECT_ID: o ID do seu projeto
    • ZONE: a zona onde a VM está localizada
    • VM_NAME: o nome ou o ID da VM para a qual quer ver o relatório de atribuição de políticas do SO
    • OS_POLICY_ASSIGNMENT_ID: o ID da atribuição da política do SO para a qual quer ver o relatório de atribuição da política do SO

  2. Reveja os complianceState e as complianceStateReason.

    Para corrigir estes problemas, também pode rever os registos da política de SO e fazer as atualizações necessárias. Para verificar os registos, consulte o artigo Resolva problemas do Gestor de VMs.

O que se segue?