Visualizar informes de políticas del SO

Después de que VM Manager aplica una asignación de política de SO a una instancia de máquina virtual (VM), se genera un informe de asignación de política de SO. El informe contiene el estado de cumplimiento de todas las políticas de SO que se aplican a una VM específica para una asignación de política de SO determinada.

En este documento, se describen las siguientes tareas:

Antes de comenzar

  • Revisa las cuotas de configuración del SO.
  • Si aún no lo hiciste, configura la autenticación. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.

Roles y permisos requeridos

Para obtener los permisos que necesitas para ver los datos de cumplimiento de las políticas del SO, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver los datos de cumplimiento de las políticas del SO. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver los datos de cumplimiento de las políticas del SO:

  • Visualiza el resumen de cumplimiento de la política de SO de las VMs de una organización o carpeta:
    • osconfig.osPolicyAssignmentReports.searchSummaries
    • osconfig.osPolicyAssignments.searchPolicies
    • resourcemanager.projects.get
    • resourcemanager.projects.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Visualiza el resumen de cumplimiento de la política de SO de todas las VMs de una organización o carpeta

Puedes ver el resumen de cumplimiento de políticas del SO de todas las VMs de una organización o carpeta mediante la consola de Google Cloud.

VM Manager muestra el resumen de cumplimiento de políticas del SO solo de los proyectos que cumplen con uno de los siguientes requisitos:

  • Contiene una o más VMs en las que VM Manager está habilitado y en ejecución.
  • Contiene una o más VMs en las que VM Manager se ejecutó en los últimos 7 días y los datos de cumplimiento de la política de SO están disponibles.

Para ver los datos de cumplimiento de la política de SO, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Compute Engine > VM Manager > Políticas del SO.

    Ir a Políticas del SO

  2. En la lista desplegable del proyecto en la parte superior de la consola de Google Cloud, selecciona la organización o la carpeta de la que deseas ver el resumen de cumplimiento de políticas del SO.

  3. Usa las siguientes opciones para ver los datos de cumplimiento de las políticas del SO:

    1. Para ver el resumen de cumplimiento de políticas del SO por proyecto, haz clic en la pestaña Proyectos.
    2. Para ver el resumen de cumplimiento de políticas del SO por política, haz clic en la pestaña Políticas del SO.
  4. Opcional: Especifica los criterios para calcular el resumen de cumplimiento de políticas del SO mediante el compilador de consultas.

  5. Revisa el resumen de cumplimiento de políticas de SO para las VMs. En la tabla de la pestaña Proyectos, se incluye una fila para cada proyecto, como se muestra en la siguiente figura:

    Resumen de las políticas de SO para todos los proyectos.

    En la tabla, se muestra la siguiente información que cumple con los criterios que especificaste en el compilador de consultas:

    • Proyecto: El nombre de los proyectos en la organización que contienen al menos una VM y tienen habilitado VM Manager.
    • Total de VMs: Cantidad total de VMs en cada proyecto.
    • VMs supervisadas: La cantidad de VMs en el proyecto que tienen habilitado el agente de VM Manager y se analizan para determinar si cumplen con las políticas.
    • VMs con política: cantidad de VM con al menos una política asignada
    • Compatible: Cantidad de VMs con todas sus políticas asignadas informadas como COMPLIANT.
    • No compatible: Cantidad de VMs con al menos una política asignada informada como NON-COMPLIANT.
    • Desconocido: Cantidad de VMs con al menos una política asignada informada como UNKNOWN y ninguna política informada como NON-COMPLIANT. El estado UNKNOWN se debe a uno de los siguientes motivos:
      • La VM no se está ejecutando
      • El agente de VM Manager no está habilitado para la VM.
      • Se produjo un error durante el proceso.
    • Sin informe: cantidad de VMs con políticas asignadas, pero no se encontró ningún informe de cumplimiento de políticas debido a uno de los siguientes motivos:
      • El agente de VM Manager no está habilitado para la VM.
      • El análisis de cumplimiento está en curso. El informe aún no está listo.
  6. Opcional: Aplica filtros de tabla si deseas ver filas específicas en la tabla de resumen de cumplimiento de políticas de SO.

    Filtro de tabla en la tabla de resumen de políticas.

    Por ejemplo, si deseas ver el resumen de cumplimiento de políticas del SO de los proyectos que tienen más de 10 VMs, configura la opción de filtro Total de VM en >= 10.

  7. Haz clic en la cantidad de VMs para ver más detalles sobre ellas en un estado particular (opcional). Por ejemplo, si haces clic en la cantidad de VMs de un proyecto determinado en la columna Desconocido, se abrirá la pestaña Instancias de VM con una lista de políticas de SO desconocidas para cada VM en ese proyecto.

    Pestaña Instancias de VM con políticas de SO desconocidas.

    Para obtener más información, consulta Visualiza los informes de asignación de políticas del SO.

Usa el compilador de consultas para filtrar los datos de cumplimiento de las políticas del SO

Según los criterios que especificaste en el compilador de consultas, VM Manager muestra los datos de cumplimiento de la política de SO para las VMs de los proyectos de tu organización o carpeta. Luego, puedes usar los filtros de la tabla en la tabla de cumplimiento de políticas del SO para filtrar los datos que se muestran.

Por ejemplo, cuando configuras el atributo OS en el compilador de consultas como Debian, VM Manager muestra los datos de cumplimiento de la política de SO para las VMs con el SO Debian. Si deseas ver los datos de cumplimiento de un proyecto específico, usa el filtro de tabla para especificar el ID del proyecto.

Compilador de consultas con un atributo.

Para configurar una consulta en el compilador de consultas en la pestaña Proyectos, haz lo siguiente:

  1. Selecciona un atributo. El compilador de consultas admite los siguientes atributos:

    • SO: Especifica los nombres cortos de los sistemas operativos, como Windows o Debian.
    • Versión del SO: Especifica la versión del sistema operativo. Por ejemplo, 21.04 o 10.0.22000. Puedes especificar un solo asterisco (*) al final de la cadena de la versión del SO para indicar una coincidencia parcial, por ejemplo, 10*.
    • VM en ejecución: Especifica si deseas ver el resumen del parche para las VMs que están en el estado RUNNING.
    • Huella digital de la política: especifica la huella digital única de la política para la política del SO. Cuando configuras este atributo, VM Manager calcula el resumen de cumplimiento solo para esas políticas del SO con la huella digital especificada.
    • Estado de cumplimiento: Especifica uno de los siguientes estados de cumplimiento para la política:
      • COMPLIANT: VMs con todas las políticas asignadas informadas como COMPLIANT
      • NON-COMPLIANT: VMs con al menos una política asignada que se informa como NON-COMPLIANT
      • UNKNOWN: VMs con al menos una política asignada que se informa como UNKNOWN
  2. Elige uno de los atributos y especifica un valor para el atributo. Por ejemplo, si deseas ver el resumen de parches de las VMs con un sistema operativo específico, elige SO. Luego, obtendrás una lista de operadores de comparación entre los que podrás elegir.

    1. Elige un operador, por ejemplo, ==.
    2. En el campo Valor, especifica el valor de comparación. Por ejemplo, Debian.
  3. Para agregar otro atributo, haz clic en Agregar condición.

  4. Haz clic en Buscar.

Visualiza informes de asignación de políticas de SO

Para ver los informes de asignación de políticas del SO, puedes usar la consola de Google Cloud, Google Cloud CLI o REST.

Usa este procedimiento para ver una lista de informes de asignación de políticas de SO en una ubicación específica.

Console

  1. Si usas los Controles del servicio de VPC para proteger tus servicios, agrega el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Consulta Servicios de VPC accesibles para obtener más información.

  2. En la consola de Google Cloud, ve a la página Políticas del SO > Instancias de VM.

    Ir a Instancias de VM

    Visualiza el cumplimiento de la VM

gcloud

Para ver una lista de informes de asignación de políticas de SO, usa el comando os-config os-policy-assignment-reports list.

Para ver todos los informes de asignación de políticas de SO de una ubicación específica, ejecuta el siguiente comando. Reemplaza ZONE por la zona en la que se encuentran las VM.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Comando y resultado de ejemplo (todas las VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

También puedes usar marcas opcionales, como --instance o --assignment-id, para filtrar los resultados.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Reemplaza lo siguiente:

  • ZONE: La zona donde se ubica la VM.
  • Proporciona una de las siguientes opciones (opcional):
    • VM_NAME: el nombre o ID de la VM de la que deseas ver los informes de asignación de políticas del SO
    • ASSIGNMENT_ID: El ID de la asignación de política del SO de la que deseas ver los informes de asignación de política del SO

Comando y salida de ejemplo (VM específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Ejemplo de comando y resultado (asignación específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

En la API, crea una solicitud GET para el método projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Reemplaza lo siguiente:

  • PROJECT_ID: El ID de tu proyecto
  • ZONE: Es la zona en la que se encuentran las VM.
  • Opcional. Proporciona uno de los siguientes elementos:
    • VM_NAME: el nombre o ID de la VM de la que deseas ver los informes de asignación de políticas del SO Si no es necesario, usa un - para el valor.
    • ASSIGNMENT_ID: El ID de la asignación de política del SO de la que deseas ver los informes de asignación de política del SO Si no es necesario, usa un - para el valor.

Ejemplos:

  • Para ver informes de todas las VM en el proyecto my-project-12345 y la zona us-central1-a, usa el siguiente URI:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
  • Para ver los informes de la VM my-test-vm en el proyecto my-project-12345 y ubicado en la zona us-central1-a, usa el siguiente URI:
    projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
  • Para ver informes de todas las VM del proyecto my-project-12345 y la zona us-central1-a que tienen la asignación de política de SO my-test-assignment, usa el siguiente URI:
    projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report

Revisa un informe de asignación de política de SO

Usa este procedimiento para obtener una vista detallada de un informe de asignación de política del SO asociado con una VM específica.

Console

  1. Si usas los Controles del servicio de VPC para proteger tus servicios, agrega el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Consulta Servicios de VPC accesibles para obtener más información.

  2. En la consola de Google Cloud, ve a la página Políticas del SO > Instancias de VM.

    Ir a la consola de Google Cloud

  3. Para ver el informe de asignación de políticas del SO de una VM específica, haz clic en el nombre de la VM.

    Visualiza el cumplimiento de la VM

  4. Revisa los campos Estado, Motivo de estado y Registros. El campo Registros proporciona un vínculo al panel de Cloud Logging en el que puedes acceder a los registros de depuración del agente de configuración del SO que se ejecuta en la VM.

    Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.

gcloud

  1. Para ver el informe de asignación de políticas del SO de una VM específica, usa el comando os-config os-policy-assignment-reports describe.

    gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
        --instance=VM_NAME \
        --location=ZONE
    

    Reemplaza lo siguiente:

    • OS_POLICY_ASSIGNMENT_ID: Es el ID de la asignación de la política del SO que deseas revisar para la VM especificada.
    • VM_NAME: el nombre o ID de la VM de la que deseas ver el informe de asignación de políticas del SO
    • ZONE: La zona donde se ubica la VM.

    Ejemplo

    gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
        --instance=centos7 \
        --location=us-central1-a
    

    Resultado

    instance: centos7
    lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
    name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
    osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
    osPolicyCompliances:
    – complianceState: UNKNOWN
      complianceStateReason: os-policies-not-supported-by-agent
      osPolicyId: setup-repo-and-install-package-policy
      osPolicyResourceCompliances:
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: setup-repo
      – complianceState: UNKNOWN
        complianceStateReason: os-policy-execution-attempt-failed
        osPolicyResourceId: install-pkg
    updateTime: '2021-11-02T19:14:34.314831Z'
    
  2. Revisa los complianceState y complianceStateReason.

    Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.

REST

  1. En la API, crea una solicitud GET para el método projects.locations.osPolicyAssignments.reports.get.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
    

    Reemplaza lo siguiente:

    • PROJECT_ID: El ID del proyecto
    • ZONE: La zona donde se ubica la VM.
    • VM_NAME: el nombre o ID de la VM de la que deseas ver el informe de asignación de políticas del SO
    • OS_POLICY_ASSIGNMENT_ID: El ID de la asignación de política del SO de la que deseas ver el informe de asignación de política del SO
  2. Revisa los complianceState y complianceStateReason.

    Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.

Próximos pasos