Después de que VM Manager aplica una asignación de política de SO a una instancia de máquina virtual (VM), se genera un informe de asignación de política de SO. El informe contiene el estado de cumplimiento de todas las políticas de SO que se aplican a una VM específica para una asignación de política de SO determinada.
En este documento, se describen las siguientes tareas:
- Consulta el Informe de cumplimiento de políticas de SO para todas las VMs de una organización o carpeta.
- Visualiza los informes de asignación de políticas de SO de todas las VMs de una zona específica. Esto es útil para proporcionar una descripción general del estado del cumplimiento en una zona específica. Consulta Visualiza los informes de asignación de políticas del SO.
- Revisa la asignación de la política de SO para una VM específica. Esto es útil cuando se revisa el estado de cumplimiento de una VM específica. Consulta Revisa un informe de asignación de políticas del SO.
Antes de comenzar
- Revisa las cuotas de configuración del SO.
-
Si aún no lo hiciste, configura la autenticación.
La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud.
Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- Visualiza el resumen de cumplimiento de la política de SO de todas las VMs de una organización o carpeta:
-
Visualizador de OSPolicyAssignmentReport (
roles/osconfig.osPolicyAssignmentReportViewer
) en la organización o carpeta -
Visualizador de OSPolicyAssignment (
roles/osconfig.osPolicyAssignmentViewer
) en la organización o carpeta
-
Visualizador de OSPolicyAssignmentReport (
- Visualiza los informes de asignación de políticas de SO de las VMs de un proyecto: Visualizador de OSPolicyAssignmentReport (
roles/osconfig.osPolicyAssignmentReportViewer
) en el proyecto - Visualiza el resumen de cumplimiento de la política de SO de las VMs de una organización o carpeta:
-
osconfig.osPolicyAssignmentReports.searchSummaries
-
osconfig.osPolicyAssignments.searchPolicies
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
- Contiene una o más VMs en las que VM Manager está habilitado y en ejecución.
- Contiene una o más VMs en las que VM Manager se ejecutó en los últimos 7 días y los datos de cumplimiento de la política de SO están disponibles.
En la consola de Google Cloud, ve a la página Compute Engine > VM Manager > Políticas del SO.
En la lista desplegable del proyecto en la parte superior de la consola de Google Cloud, selecciona la organización o la carpeta de la que deseas ver el resumen de cumplimiento de políticas del SO.
Usa las siguientes opciones para ver los datos de cumplimiento de las políticas del SO:
- Para ver el resumen de cumplimiento de políticas del SO por proyecto, haz clic en la pestaña Proyectos.
- Para ver el resumen de cumplimiento de políticas del SO por política, haz clic en la pestaña Políticas del SO.
Opcional: Especifica los criterios para calcular el resumen de cumplimiento de políticas del SO mediante el compilador de consultas.
Revisa el resumen de cumplimiento de políticas de SO para las VMs. En la tabla de la pestaña Proyectos, se incluye una fila para cada proyecto, como se muestra en la siguiente figura:
En la tabla, se muestra la siguiente información que cumple con los criterios que especificaste en el compilador de consultas:
- Proyecto: El nombre de los proyectos en la organización que contienen al menos una VM y tienen habilitado VM Manager.
- Total de VMs: Cantidad total de VMs en cada proyecto.
- VMs supervisadas: La cantidad de VMs en el proyecto que tienen habilitado el agente de VM Manager y se analizan para determinar si cumplen con las políticas.
- VMs con política: cantidad de VM con al menos una política asignada
- Compatible: Cantidad de VMs con todas sus políticas asignadas informadas como
COMPLIANT
. - No compatible: Cantidad de VMs con al menos una política asignada informada como
NON-COMPLIANT
. - Desconocido: Cantidad de VMs con al menos una política asignada informada como
UNKNOWN
y ninguna política informada comoNON-COMPLIANT
. El estadoUNKNOWN
se debe a uno de los siguientes motivos:- La VM no se está ejecutando
- El agente de VM Manager no está habilitado para la VM.
- Se produjo un error durante el proceso.
- Sin informe: cantidad de VMs con políticas asignadas, pero no se encontró ningún informe de cumplimiento de políticas debido a uno de los siguientes motivos:
- El agente de VM Manager no está habilitado para la VM.
- El análisis de cumplimiento está en curso. El informe aún no está listo.
Opcional: Aplica filtros de tabla si deseas ver filas específicas en la tabla de resumen de cumplimiento de políticas de SO.
Por ejemplo, si deseas ver el resumen de cumplimiento de políticas del SO de los proyectos que tienen más de 10 VMs, configura la opción de filtro Total de VM en
>= 10
.Haz clic en la cantidad de VMs para ver más detalles sobre ellas en un estado particular (opcional). Por ejemplo, si haces clic en la cantidad de VMs de un proyecto determinado en la columna Desconocido, se abrirá la pestaña Instancias de VM con una lista de políticas de SO desconocidas para cada VM en ese proyecto.
Para obtener más información, consulta Visualiza los informes de asignación de políticas del SO.
Selecciona un atributo. El compilador de consultas admite los siguientes atributos:
- SO: Especifica los nombres cortos de los sistemas operativos, como
Windows
oDebian
. - Versión del SO: Especifica la versión del sistema operativo. Por ejemplo,
21.04
o10.0.22000
. Puedes especificar un solo asterisco (*
) al final de la cadena de la versión del SO para indicar una coincidencia parcial, por ejemplo,10*
. - VM en ejecución: Especifica si deseas ver el resumen del parche para las VMs que están en el estado
RUNNING
. - Huella digital de la política: especifica la huella digital única de la política para la política del SO. Cuando configuras este atributo, VM Manager calcula el resumen de cumplimiento solo para esas políticas del SO con la huella digital especificada.
- Estado de cumplimiento: Especifica uno de los siguientes estados de cumplimiento para la política:
COMPLIANT
: VMs con todas las políticas asignadas informadas comoCOMPLIANT
NON-COMPLIANT
: VMs con al menos una política asignada que se informa comoNON-COMPLIANT
UNKNOWN
: VMs con al menos una política asignada que se informa comoUNKNOWN
- SO: Especifica los nombres cortos de los sistemas operativos, como
Elige uno de los atributos y especifica un valor para el atributo. Por ejemplo, si deseas ver el resumen de parches de las VMs con un sistema operativo específico, elige SO. Luego, obtendrás una lista de operadores de comparación entre los que podrás elegir.
- Elige un operador, por ejemplo,
==
. - En el campo Valor, especifica el valor de comparación. Por ejemplo,
Debian
.
- Elige un operador, por ejemplo,
Para agregar otro atributo, haz clic en Agregar condición.
Haz clic en Buscar.
Si usas los Controles del servicio de VPC para proteger tus servicios, agrega el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Consulta Servicios de VPC accesibles para obtener más información.
En la consola de Google Cloud, ve a la página Políticas del SO > Instancias de VM.
ZONE
: La zona donde se ubica la VM.- Proporciona una de las siguientes opciones (opcional):
VM_NAME
: el nombre o ID de la VM de la que deseas ver los informes de asignación de políticas del SOASSIGNMENT_ID
: El ID de la asignación de política del SO de la que deseas ver los informes de asignación de política del SO
PROJECT_ID
: El ID de tu proyectoZONE
: Es la zona en la que se encuentran las VM.- Opcional. Proporciona uno de los siguientes elementos:
VM_NAME
: el nombre o ID de la VM de la que deseas ver los informes de asignación de políticas del SO Si no es necesario, usa un-
para el valor.ASSIGNMENT_ID
: El ID de la asignación de política del SO de la que deseas ver los informes de asignación de política del SO Si no es necesario, usa un-
para el valor.
- Para ver informes de todas las VM en el proyecto
my-project-12345
y la zonaus-central1-a
, usa el siguiente URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Para ver los informes de la VM
my-test-vm
en el proyectomy-project-12345
y ubicado en la zonaus-central1-a
, usa el siguiente URI:projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Para ver informes de todas las VM del proyecto
my-project-12345
y la zonaus-central1-a
que tienen la asignación de política de SOmy-test-assignment
, usa el siguiente URI:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Si usas los Controles del servicio de VPC para proteger tus servicios, agrega el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Consulta Servicios de VPC accesibles para obtener más información.
En la consola de Google Cloud, ve a la página Políticas del SO > Instancias de VM.
Para ver el informe de asignación de políticas del SO de una VM específica, haz clic en el nombre de la VM.
Revisa los campos Estado, Motivo de estado y Registros. El campo Registros proporciona un vínculo al panel de Cloud Logging en el que puedes acceder a los registros de depuración del agente de configuración del SO que se ejecuta en la VM.
- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección
ComplianceState
en la documentación de referencia de la API. - Para obtener más información sobre los motivos de cumplimiento que se muestran, revisa el campo
complianceStateReason
en la documentación de referencia de la APIOSPolicyResourceCompliance
.
Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.
- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección
Para ver el informe de asignación de políticas del SO de una VM específica, usa el comando
os-config os-policy-assignment-reports describe
.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONE
Reemplaza lo siguiente:
OS_POLICY_ASSIGNMENT_ID
: Es el ID de la asignación de la política del SO que deseas revisar para la VM especificada.VM_NAME
: el nombre o ID de la VM de la que deseas ver el informe de asignación de políticas del SOZONE
: La zona donde se ubica la VM.
Ejemplo
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-a
Resultado
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'
Revisa los
complianceState
ycomplianceStateReason
.- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección
ComplianceState
en la documentación de referencia de la API. - Para obtener más información sobre los motivos de cumplimiento que se muestran, revisa el campo
complianceStateReason
en la documentación de referencia de la APIOSPolicyResourceCompliance
.
Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.
- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección
En la API, crea una solicitud
GET
para el métodoprojects.locations.osPolicyAssignments.reports.get
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyectoZONE
: La zona donde se ubica la VM.VM_NAME
: el nombre o ID de la VM de la que deseas ver el informe de asignación de políticas del SOOS_POLICY_ASSIGNMENT_ID
: El ID de la asignación de política del SO de la que deseas ver el informe de asignación de política del SO
Revisa los
complianceState
ycomplianceStateReason
.- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección
ComplianceState
en la documentación de referencia de la API. - Para obtener más información sobre los motivos de cumplimiento que se muestran, revisa el campo
complianceStateReason
en la documentación de referencia de la APIOSPolicyResourceCompliance
.
Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.
- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección
- Obtén más información sobre las políticas del SO.
- Administra las políticas del SO.
REST
Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.
Roles y permisos requeridos
Para obtener los permisos que necesitas para ver los datos de cumplimiento de las políticas del SO, pídele a tu administrador que te otorgue los siguientes roles de IAM:
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para ver los datos de cumplimiento de las políticas del SO. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para ver los datos de cumplimiento de las políticas del SO:
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Visualiza el resumen de cumplimiento de la política de SO de todas las VMs de una organización o carpeta
Puedes ver el resumen de cumplimiento de políticas del SO de todas las VMs de una organización o carpeta mediante la consola de Google Cloud.
VM Manager muestra el resumen de cumplimiento de políticas del SO solo de los proyectos que cumplen con uno de los siguientes requisitos:
Para ver los datos de cumplimiento de la política de SO, haz lo siguiente:
Usa el compilador de consultas para filtrar los datos de cumplimiento de las políticas del SO
Según los criterios que especificaste en el compilador de consultas, VM Manager muestra los datos de cumplimiento de la política de SO para las VMs de los proyectos de tu organización o carpeta. Luego, puedes usar los filtros de la tabla en la tabla de cumplimiento de políticas del SO para filtrar los datos que se muestran.
Por ejemplo, cuando configuras el atributo
OS
en el compilador de consultas comoDebian
, VM Manager muestra los datos de cumplimiento de la política de SO para las VMs con el SO Debian. Si deseas ver los datos de cumplimiento de un proyecto específico, usa el filtro de tabla para especificar el ID del proyecto.Para configurar una consulta en el compilador de consultas en la pestaña Proyectos, haz lo siguiente:
Visualiza informes de asignación de políticas de SO
Para ver los informes de asignación de políticas del SO, puedes usar la consola de Google Cloud, Google Cloud CLI o REST.
Usa este procedimiento para ver una lista de informes de asignación de políticas de SO en una ubicación específica.
Console
gcloud
Para ver una lista de informes de asignación de políticas de SO, usa el comando
os-config os-policy-assignment-reports list
.Para ver todos los informes de asignación de políticas de SO de una ubicación específica, ejecuta el siguiente comando. Reemplaza
ZONE
por la zona en la que se encuentran las VM.gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Comando y resultado de ejemplo (todas las VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
También puedes usar marcas opcionales, como
--instance
o--assignment-id
, para filtrar los resultados.gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]
Reemplaza lo siguiente:
Comando y salida de ejemplo (VM específica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant
Ejemplo de comando y resultado (asignación específica)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant
REST
En la API, crea una solicitud
GET
para el métodoprojects.locations.osPolicyAssignments.reports.list
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Reemplaza lo siguiente:
Ejemplos:
Revisa un informe de asignación de política de SO
Usa este procedimiento para obtener una vista detallada de un informe de asignación de política del SO asociado con una VM específica.
Console
gcloud
REST
Próximos pasos
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2024-10-10 (UTC)
-