Visualizar informes de políticas del SO

Después de que VM Manager aplica una asignación de política de SO a una instancia de máquina virtual (VM), se genera un informe de asignación de política de SO. El informe contiene el estado de cumplimiento de todas las políticas de SO que se aplican a una VM específica para una asignación de política de SO determinada.

En este documento, se describen las siguientes tareas:

Consulta el Informe de cumplimiento de políticas de SO para todas las VMs de una organización o carpeta.
Visualiza los informes de asignación de políticas de SO de todas las VMs de una zona específica. Esto es útil para proporcionar una descripción general del estado del cumplimiento en una zona específica. Consulta Visualiza los informes de asignación de políticas del SO.
Revisa la asignación de la política de SO para una VM específica. Esto es útil cuando se revisa el estado de cumplimiento de una VM específica. Consulta Revisa un informe de asignación de políticas del SO.

Antes de comenzar

Revisa las cuotas de configuración del SO.
Si aún no lo hiciste, configura la autenticación. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera.

Select the tab for how you plan to use the samples on this page:
Console

When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
1. Install the Google Cloud CLI, then initialize it by running the following command:
  gcloud init
  Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.
2. Set a default region and zone.

Roles y permisos requeridos

Para obtener los permisos que necesitas para ver los datos de cumplimiento de las políticas del SO, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Visualiza el resumen de cumplimiento de la política de SO de todas las VMs de una organización o carpeta:
- Visualizador de OSPolicyAssignmentReport (roles/osconfig.osPolicyAssignmentReportViewer) en la organización o carpeta
- Visualizador de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentViewer) en la organización o carpeta
Visualiza los informes de asignación de políticas de SO de las VMs de un proyecto: Visualizador de OSPolicyAssignmentReport (roles/osconfig.osPolicyAssignmentReportViewer) en el proyecto

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver los datos de cumplimiento de las políticas del SO. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver los datos de cumplimiento de las políticas del SO:

Visualiza el resumen de cumplimiento de la política de SO de las VMs de una organización o carpeta:
- osconfig.osPolicyAssignmentReports.searchSummaries
- osconfig.osPolicyAssignments.searchPolicies
- resourcemanager.projects.get
- resourcemanager.projects.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Visualiza el resumen de cumplimiento de la política de SO de todas las VMs de una organización o carpeta

Puedes ver el resumen de cumplimiento de políticas del SO de todas las VMs de una organización o carpeta mediante la consola de Google Cloud.

VM Manager muestra el resumen de cumplimiento de políticas del SO solo de los proyectos que cumplen con uno de los siguientes requisitos:

Contiene una o más VMs en las que VM Manager está habilitado y en ejecución.
Contiene una o más VMs en las que VM Manager se ejecutó en los últimos 7 días y los datos de cumplimiento de la política de SO están disponibles.

Para ver los datos de cumplimiento de la política de SO, haz lo siguiente:

En la consola de Google Cloud, ve a la página Compute Engine > VM Manager > Políticas del SO.

Ir a Políticas del SO
En la lista desplegable del proyecto en la parte superior de la consola de Google Cloud, selecciona la organización o la carpeta de la que deseas ver el resumen de cumplimiento de políticas del SO.
Usa las siguientes opciones para ver los datos de cumplimiento de las políticas del SO:
1. Para ver el resumen de cumplimiento de políticas del SO por proyecto, haz clic en la pestaña Proyectos.
2. Para ver el resumen de cumplimiento de políticas del SO por política, haz clic en la pestaña Políticas del SO.
Opcional: Especifica los criterios para calcular el resumen de cumplimiento de políticas del SO mediante el compilador de consultas.
Revisa el resumen de cumplimiento de políticas de SO para las VMs. En la tabla de la pestaña Proyectos, se incluye una fila para cada proyecto, como se muestra en la siguiente figura:

En la tabla, se muestra la siguiente información que cumple con los criterios que especificaste en el compilador de consultas:
- Proyecto: El nombre de los proyectos en la organización que contienen al menos una VM y tienen habilitado VM Manager.
- Total de VMs: Cantidad total de VMs en cada proyecto.
- VMs supervisadas: La cantidad de VMs en el proyecto que tienen habilitado el agente de VM Manager y se analizan para determinar si cumplen con las políticas.
- VMs con política: cantidad de VM con al menos una política asignada
- Compatible: Cantidad de VMs con todas sus políticas asignadas informadas como COMPLIANT.
- No compatible: Cantidad de VMs con al menos una política asignada informada como NON-COMPLIANT.
- Desconocido: Cantidad de VMs con al menos una política asignada informada como UNKNOWN y ninguna política informada como NON-COMPLIANT. El estado UNKNOWN se debe a uno de los siguientes motivos:
  - La VM no se está ejecutando
  - El agente de VM Manager no está habilitado para la VM.
  - Se produjo un error durante el proceso.
- Sin informe: cantidad de VMs con políticas asignadas, pero no se encontró ningún informe de cumplimiento de políticas debido a uno de los siguientes motivos:
  - El agente de VM Manager no está habilitado para la VM.
  - El análisis de cumplimiento está en curso. El informe aún no está listo.
Opcional: Aplica filtros de tabla si deseas ver filas específicas en la tabla de resumen de cumplimiento de políticas de SO.

Por ejemplo, si deseas ver el resumen de cumplimiento de políticas del SO de los proyectos que tienen más de 10 VMs, configura la opción de filtro Total de VM en >= 10.
Haz clic en la cantidad de VMs para ver más detalles sobre ellas en un estado particular (opcional). Por ejemplo, si haces clic en la cantidad de VMs de un proyecto determinado en la columna Desconocido, se abrirá la pestaña Instancias de VM con una lista de políticas de SO desconocidas para cada VM en ese proyecto.

Para obtener más información, consulta Visualiza los informes de asignación de políticas del SO.

Usa el compilador de consultas para filtrar los datos de cumplimiento de las políticas del SO

Según los criterios que especificaste en el compilador de consultas, VM Manager muestra los datos de cumplimiento de la política de SO para las VMs de los proyectos de tu organización o carpeta. Luego, puedes usar los filtros de la tabla en la tabla de cumplimiento de políticas del SO para filtrar los datos que se muestran.

Por ejemplo, cuando configuras el atributo OS en el compilador de consultas como Debian, VM Manager muestra los datos de cumplimiento de la política de SO para las VMs con el SO Debian. Si deseas ver los datos de cumplimiento de un proyecto específico, usa el filtro de tabla para especificar el ID del proyecto.

Compilador de consultas con un atributo.

Para configurar una consulta en el compilador de consultas en la pestaña Proyectos, haz lo siguiente:

Selecciona un atributo. El compilador de consultas admite los siguientes atributos:
- SO: Especifica los nombres cortos de los sistemas operativos, como Windows o Debian.
- Versión del SO: Especifica la versión del sistema operativo. Por ejemplo, 21.04 o 10.0.22000. Puedes especificar un solo asterisco (*) al final de la cadena de la versión del SO para indicar una coincidencia parcial, por ejemplo, 10*.
- VM en ejecución: Especifica si deseas ver el resumen del parche para las VMs que están en el estado RUNNING.
- Huella digital de la política: especifica la huella digital única de la política para la política del SO. Cuando configuras este atributo, VM Manager calcula el resumen de cumplimiento solo para esas políticas del SO con la huella digital especificada.
- Estado de cumplimiento: Especifica uno de los siguientes estados de cumplimiento para la política:
  - COMPLIANT: VMs con todas las políticas asignadas informadas como COMPLIANT
  - NON-COMPLIANT: VMs con al menos una política asignada que se informa como NON-COMPLIANT
  - UNKNOWN: VMs con al menos una política asignada que se informa como UNKNOWN
Elige uno de los atributos y especifica un valor para el atributo. Por ejemplo, si deseas ver el resumen de parches de las VMs con un sistema operativo específico, elige SO. Luego, obtendrás una lista de operadores de comparación entre los que podrás elegir.
1. Elige un operador, por ejemplo, ==.
2. En el campo Valor, especifica el valor de comparación. Por ejemplo, Debian.
Para agregar otro atributo, haz clic en Agregar condición.
Haz clic en Buscar.

Visualiza informes de asignación de políticas de SO

Para ver los informes de asignación de políticas del SO, puedes usar la consola de Google Cloud, Google Cloud CLI o REST.

Usa este procedimiento para ver una lista de informes de asignación de políticas de SO en una ubicación específica.

Console

Si usas los Controles del servicio de VPC para proteger tus servicios, agrega el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Consulta Servicios de VPC accesibles para obtener más información.
En la consola de Google Cloud, ve a la página Políticas del SO > Instancias de VM.

Ir a Instancias de VM

gcloud

Para ver una lista de informes de asignación de políticas de SO, usa el comando os-config os-policy-assignment-reports list.

Para ver todos los informes de asignación de políticas de SO de una ubicación específica, ejecuta el siguiente comando. Reemplaza ZONE por la zona en la que se encuentran las VM.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE

Comando y resultado de ejemplo (todas las VM)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a

INSTANCE                   ASSIGNMENT_ID                   LOCATION       UPDATE_TIME                  SUMMARY
centos7                    my-test-assignment1             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
centos7                    my-test-assignment2             us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                     my-test-assignment1             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
rhel-8                     my-test-assignment2             us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos                  my-test-assignment1             us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos                  my-test-assignment2             us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant
deb-10                     my-test-assignment2             us-central1-a  2021-11-02T19:00:11.777748Z  0/1 policies compliant
windows                    my-test-assignment2             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
windows                    my-test-assignment3             us-central1-a  2021-11-02T18:24:07.935711Z  0/1 policies compliant
sles15                     my-test-assignment2             us-central1-a  2021-11-02T18:38:07.335276Z  0/1 policies compliant

También puedes usar marcas opcionales, como --instance o --assignment-id, para filtrar los resultados.

gcloud compute os-config os-policy-assignment-reports list --location=ZONE \
    [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]

Reemplaza lo siguiente:

ZONE: La zona donde se ubica la VM.
Proporciona una de las siguientes opciones (opcional):
- VM_NAME: el nombre o ID de la VM de la que deseas ver los informes de asignación de políticas del SO
- ASSIGNMENT_ID: El ID de la asignación de política del SO de la que deseas ver los informes de asignación de política del SO

Comando y salida de ejemplo (VM específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --instance=my-centos

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant
my-centos               my-test-assignment2         us-central1-a  2021-11-02T18:14:37.418883Z  0/1 policies compliant

Ejemplo de comando y resultado (asignación específica)

gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \
    --assignment-id=my-test-assignment1

INSTANCE                ASSIGNMENT_ID               LOCATION       UPDATE_TIME                  SUMMARY
centos7                 my-test-assignment1         us-central1-a  2021-11-02T18:14:03.908341Z  0/1 policies compliant
rhel-8                  my-test-assignment1         us-central1-a  2021-11-02T19:13:28.468290Z  0/1 policies compliant
my-centos               my-test-assignment1         us-central1-a  2021-11-02T18:14:37.418883Z  1/1 policies compliant

REST

En la API, crea una solicitud GET para el método projects.locations.osPolicyAssignments.reports.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report

Reemplaza lo siguiente:

PROJECT_ID: El ID de tu proyecto
ZONE: Es la zona en la que se encuentran las VM.
Opcional. Proporciona uno de los siguientes elementos:
- VM_NAME: el nombre o ID de la VM de la que deseas ver los informes de asignación de políticas del SO Si no es necesario, usa un - para el valor.
- ASSIGNMENT_ID: El ID de la asignación de política del SO de la que deseas ver los informes de asignación de política del SO Si no es necesario, usa un - para el valor.

Ejemplos:

Para ver informes de todas las VM en el proyecto my-project-12345 y la zona us-central1-a, usa el siguiente URI:
```
projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
```
Para ver los informes de la VM my-test-vm en el proyecto my-project-12345 y ubicado en la zona us-central1-a, usa el siguiente URI:
```
projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
```
Para ver informes de todas las VM del proyecto my-project-12345 y la zona us-central1-a que tienen la asignación de política de SO my-test-assignment, usa el siguiente URI:
```
projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
```

Revisa un informe de asignación de política de SO

Usa este procedimiento para obtener una vista detallada de un informe de asignación de política del SO asociado con una VM específica.

Console

Si usas los Controles del servicio de VPC para proteger tus servicios, agrega el servicio de Cloud Asset Inventory a tu lista de servicios permitidos. Consulta Servicios de VPC accesibles para obtener más información.
En la consola de Google Cloud, ve a la página Políticas del SO > Instancias de VM.

Ir a la consola de Google Cloud
Para ver el informe de asignación de políticas del SO de una VM específica, haz clic en el nombre de la VM.
Revisa los campos Estado, Motivo de estado y Registros. El campo Registros proporciona un vínculo al panel de Cloud Logging en el que puedes acceder a los registros de depuración del agente de configuración del SO que se ejecuta en la VM.
- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección ComplianceState en la documentación de referencia de la API.
- Para obtener más información sobre los motivos de cumplimiento que se muestran, revisa el campo complianceStateReason en la documentación de referencia de la API OSPolicyResourceCompliance.
Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.

gcloud

Para ver el informe de asignación de políticas del SO de una VM específica, usa el comando os-config os-policy-assignment-reports describe.

gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \
    --instance=VM_NAME \
    --location=ZONE

Reemplaza lo siguiente:

OS_POLICY_ASSIGNMENT_ID: Es el ID de la asignación de la política del SO que deseas revisar para la VM especificada.
VM_NAME: el nombre o ID de la VM de la que deseas ver el informe de asignación de políticas del SO
ZONE: La zona donde se ubica la VM.

Ejemplo

gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \
    --instance=centos7 \
    --location=us-central1-a

Resultado

instance: centos7
lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae
name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report
osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3
osPolicyCompliances:
– complianceState: UNKNOWN
  complianceStateReason: os-policies-not-supported-by-agent
  osPolicyId: setup-repo-and-install-package-policy
  osPolicyResourceCompliances:
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: setup-repo
  – complianceState: UNKNOWN
    complianceStateReason: os-policy-execution-attempt-failed
    osPolicyResourceId: install-pkg
updateTime: '2021-11-02T19:14:34.314831Z'

Revisa los complianceState y complianceStateReason.
- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección ComplianceState en la documentación de referencia de la API.
- Para obtener más información sobre los motivos de cumplimiento que se muestran, revisa el campo complianceStateReason en la documentación de referencia de la API OSPolicyResourceCompliance.
Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.

REST

En la API, crea una solicitud GET para el método projects.locations.osPolicyAssignments.reports.get.
```
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
```
Reemplaza lo siguiente:
- PROJECT_ID: El ID del proyecto
- ZONE: La zona donde se ubica la VM.
- VM_NAME: el nombre o ID de la VM de la que deseas ver el informe de asignación de políticas del SO
- OS_POLICY_ASSIGNMENT_ID: El ID de la asignación de política del SO de la que deseas ver el informe de asignación de política del SO
Revisa los complianceState y complianceStateReason.
- Para obtener más información sobre los estados de cumplimiento que se muestran, revisa la sección ComplianceState en la documentación de referencia de la API.
- Para obtener más información sobre los motivos de cumplimiento que se muestran, revisa el campo complianceStateReason en la documentación de referencia de la API OSPolicyResourceCompliance.
Para solucionar estos problemas, también puedes revisar los registros de la política de SO y realizar las actualizaciones necesarias. Para verificar los registros, consulta Solución de problemas de VM Manager.

Próximos pasos

Obtén más información sobre las políticas del SO.
Administra las políticas del SO.