Faça a gestão das atribuições de políticas do SO

Depois de criar uma atribuição de política de SO, reveja e faça a gestão das suas atribuições através dos seguintes procedimentos:

Pode gerir as atribuições de políticas do SO através da Cloud de Confiance consola, da CLI do Google Cloud ou da API OS Config.

Antes de começar

  • Reveja as quotas de configuração do SO.
  • Se ainda não o tiver feito, configure a autenticação. A autenticação valida a sua identidade para aceder a Cloud de Confiance by S3NS serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Cloud de Confiance console to access Cloud de Confiance by S3NS services and APIs, you don't need to set up authentication.

    gcloud

    1. Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:

      gcloud init
    2. Set a default region and zone.

    REST

    Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.

      Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:

      gcloud init

    Para mais informações, consulte o artigo Autenticar para usar REST na Cloud de Confiance documentação de autenticação.

Autorizações

Os proprietários de um projeto têm acesso total para gerir atribuições de políticas de SO. Para todos os outros utilizadores, tem de conceder autorizações. Para gerir as atribuições de políticas do SO, pode conceder uma das seguintes funções detalhadas:

  • Administrador de OSPolicyAssignment (roles/osconfig.osPolicyAssignmentAdmin). Contém autorizações para criar, eliminar, atualizar, obter e listar atribuições de políticas do SO.
  • Editor de atribuições de políticas do SO (roles/osconfig.osPolicyAssignmentEditor). Contém autorizações para atualizar, obter e listar atribuições de políticas do SO.
  • Visualizador de atribuições de políticas de SO (roles/osconfig.osPolicyAssignmentViewer). Contém autorizações para acesso só de leitura para obter e listar atribuições de políticas de SO.

Exemplo de comando para definir autorizações

Para conceder a um utilizador acesso de administrador às atribuições de políticas do SO, execute o seguinte comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto
  • USER_ID: o nome de utilizador do Google Workspace do utilizador

Atualize as atribuições de políticas do SO

Para atualizar uma atribuição de política de SO, conclua os seguintes passos:

  1. Atualize o ficheiro YAML ou JSON que tem a atribuição da política do SO.

    O pedido de atualização suporta máscaras de campo. Pode ter de atualizar apenas determinados campos na atribuição da política do SO, deixando os outros campos inalterados. O comando de atualização ou patch usa máscaras de campos para indicar à API que campos foram alterados. O pedido de atualização ou patch ignora todos os campos que não estejam especificados na máscara de campo, deixando-os com os respetivos valores atuais. Para mais informações sobre as máscaras de campos, consulte o artigo FieldMask.

  2. Atualize a atribuição da política do SO através da Cloud de Confiance consola, da CLI do Google Cloud ou da API OS Config.

    Quando atualiza uma atribuição de política de SO, é criado uma implementação. Pode ver o progresso da atualização monitorizando a implementação. Para mais informações, consulte o artigo Obter detalhes de uma implementação.

    Consola

    1. Na Cloud de Confiance consola, aceda à página Políticas de SO > Atribuições.

      Aceda à Cloud de Confiance consola

    2. Para a atribuição de política de SO que quer editar, clique em Ação () > Editar atribuição.

    3. Faça as atualizações necessárias. Por exemplo, pode carregar o ficheiro de política do SO atualizado.

    4. Clique em Iniciar implementação.

    gcloud

    Use o comando os-config os-policy-assignments update para atualizar uma atribuição de política do SO.

    gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
        --location=ZONE \
        --file=FILE
    

    Substitua o seguinte:

    • OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO que quer atualizar
    • ZONE: a zona onde a atribuição da política do SO se encontra
    • FILE: o caminho absoluto para o ficheiro JSON ou YAML que contém as especificações de atribuição da política do SO atualizadas

      Se a atribuição da política de SO não existir e especificar a flag --allow-missing, o VM Manager cria a atribuição da política de SO com o ID e as especificações indicados.

    REST

    Na API, crie um pedido PATCH para o método projects.locations.osPolicyAssignments.patch.

    PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
    
    {
     JSON_OS_POLICY
    }
    

    Substitua o seguinte:

    • PROJECT_ID: o ID do seu projeto
    • OS_POLICY_ASSIGNMENT_ID: nome da atribuição da política do SO que quer atualizar
    • JSON_OS_POLICY: as especificações de atribuição de políticas do SO criadas no passo anterior. Tem de estar no formato JSON. Para mais informações sobre os parâmetros e o formato, consulte Resource: OSPolicyAssignment.
    • ZONE: a zona onde a atribuição da política do SO se encontra

Apresentar atribuições de políticas do SO

Consola

  1. Na Cloud de Confiance consola, aceda à página Políticas de SO > Atribuições.

    Aceda à Cloud de Confiance consola

gcloud

Para ver uma lista de atribuições de políticas de SO numa zona específica, use o comando os-config os-policy-assignments list.

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

Substitua ZONE pela zona onde se encontram as atribuições da política do SO.

REST

Na API, crie um pedido GET para o método projects.locations.osPolicyAssignments.list.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto
  • ZONE: a zona onde se encontram as atribuições de políticas do SO

Descreva uma atribuição de política do SO

Consola

  1. Na Cloud de Confiance consola, aceda à página Políticas de SO > Atribuições.

    Aceda à Cloud de Confiance consola

  2. Clique no nome da atribuição cujos detalhes quer ver.

gcloud

Para ver detalhes sobre uma atribuição de política do SO, use o comando compute os-config os-policy-assignments describe.

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

Substitua o seguinte:

  • OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO que quer ver
  • ZONE: a zona onde a atribuição da política do SO se encontra

REST

Na API, crie um pedido GET para o método projects.locations.osPolicyAssignments.get.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto
  • OS_POLICY_ASSIGNMENT_ID: nome da atribuição da política do SO que quer ver
  • ZONE: a zona onde a atribuição da política do SO se encontra

Apresentar revisões de atribuições de políticas do SO

gcloud

É gerado um ID de revisão quando cria uma atribuição de política de SO. Um novo ID de revisão também é gerado sempre que atualiza ou elimina a atribuição da política do SO.

Para ver uma lista de revisões disponíveis para uma atribuição de política de SO, use o comando os-config os-policy-assignments list-revisions.

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Substitua o seguinte:

  • OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO cujas revisões quer ver
  • ZONE: a zona onde a atribuição da política do SO se encontra

REST

Na API, crie um pedido GET para o método projects.locations.osPolicyAssignments.listRevisions.

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto
  • OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO cujas revisões quer ver
  • ZONE: a zona onde a atribuição da política do SO se encontra

Elimine atribuições de políticas do SO

Quando elimina uma atribuição de política de SO, é criada uma implementação. Pode ver o progresso da eliminação monitorizando a implementação. Para mais informações, consulte o artigo Obter detalhes de uma implementação.

Consola

  1. Na Cloud de Confiance consola, aceda à página Políticas de SO > Atribuições.

    Aceda à Cloud de Confiance consola

  2. Para a atribuição de política de SO que quer eliminar, clique em Ação () > Eliminar atribuição.

  3. Clique em Eliminar.

gcloud

Para eliminar uma atribuição de política do SO, use o comando os-config os-policy-assignments delete.

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

Substitua o seguinte:

  • OS_POLICY_ASSIGNMENT_ID: o nome da atribuição da política do SO que quer eliminar
  • ZONE: a zona onde a atribuição da política do SO se encontra

REST

Na API, crie um pedido DELETE para o método projects.locations.osPolicyAssignments.delete.

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto
  • OS_POLICY_ASSIGNMENT_ID: nome da atribuição da política do SO que quer eliminar
  • ZONE: a zona onde a atribuição da política do SO se encontra

Resolução de problemas

Para resolver problemas de uma atribuição de política de SO, consulte o artigo Resolução de problemas do Gestor de VMs.

O que se segue?